GreyNoise a identifié une campagne coordonnée basée sur les informations d’identification abusant des portails de connexion VPN de Cisco et Palo Alto Networks.
Les chercheurs en sécurité ont signalé une campagne coordonnée basée sur les informations d’identification ciblant les points de terminaison d’authentification VPN de Cisco et Palo Alto Networks.
En seulement deux jours, à la mi-décembre, des attaquants ont lancé des tentatives de connexion automatisées à grande échelle contre le VPN SSL de Cisco et les services GlobalProtect de Palo Alto Networks.
Une analyse de GreyNoise a noté que la campagne n’exploite pas les bogues logiciels, mais repose plutôt sur des combinaisons de noms d’utilisateur et de mots de passe à grande échelle. « Une utilisation et un calendrier cohérents de l’infrastructure indiquent une campagne unique s’articulant sur plusieurs plates-formes VPN », ont déclaré les chercheurs dans un article de blog.
GreyNoise a confirmé des millions de sessions de connexion sur plus de 10 000 adresses IP attaquantes uniques, indiquant une campagne hautement scriptée et centralisée. Il a également précisé qu’il n’avait aucune preuve reliant l’activité à la récente campagne ciblant Cisco Secure Email Gateway et Secure Email and Web Manager.
Les portails de Palo Alto frappés par une vague de trafic de connexion
GreyNoise a signalé un pic de trafic de connexion automatisée ciblant les portails GlobalProtect de Palo Alto Networks le 11 décembre. Sur une fenêtre de 16 heures, environ 1,7 million de sessions ont été observées atteignant les points de terminaison de connexion émulés GlobalProtect et PAN-OS.
« Émulé » fait référence à des pages de connexion VPN leurres ou simulées exécutées par GreyNoise, et non à de véritables VPN clients.
Les portails ciblés étaient géographiquement répartis, principalement aux États-Unis, au Pakistan et au Mexique, le trafic provenant presque exclusivement d’espaces IP liés à un seul hébergeur allemand, 3xk GmbH. Les tentatives de connexion ont suivi un modèle très uniforme, réutilisant des noms d’utilisateur et des mots de passe courants et même adopté une chaîne d’agent utilisateur Firefox de type navigateur.
Il s’agit d’un signe révélateur de vérifications d’informations d’identification scénarisées plutôt que d’une analyse opportuniste, ont noté les chercheurs.
« Cette cohérence de l’agent utilisateur, de la structure des demandes et du timing suggère une vérification des informations d’identification scriptée conçue pour identifier les portails GlobalProtect exposés ou faiblement protégés, plutôt que des tentatives d’accès interactives ou une exploitation des vulnérabilités », ont-ils déclaré.
Le VPN SSL de Cisco à force brute suit
Juste un jour après la montée en puissance de GlobalProtect, la même infrastructure d’acteur a basculé vers les points de terminaison VPN SSL de Cisco, avec la même empreinte TCP et le même espace IP du fournisseur d’hébergement. GreyNoise a vu le nombre d’adresses IP attaquantes uniques passer d’une base quotidienne typique de moins de 200 à plus de 1 200, signalant une forte augmentation des tentatives de connexion par force brute.
Contrairement à l’activité GlobalProtect plus structurée, une grande partie du trafic Cisco touchait des capteurs de façade indépendants du fournisseur. Cela indiquait que les attaquants effectuaient une enquête globale plutôt que de détenir une liste finement ciblée de points finaux connus.
Cependant, le comportement sous-jacent restait des tentatives d’authentification automatisées basées sur les informations d’identification.
La divulgation de GreyNoise exhorte les défenseurs à renforcer l’hygiène de l’authentification, notamment en appliquant des mots de passe forts et une authentification multifacteur (MFA), en auditant les appareils périphériques exposés pour détecter les tentatives de connexion inattendues et en exploitant les listes de blocage d’informations sur les menaces pour filtrer les adresses IP malveillantes au niveau du périmètre. La divulgation a partagé des listes de blocage pour les clients de sa plate-forme ainsi que pour les utilisateurs non-GreyNoise.
