Threats
A Cisco lançou um guia de mitigação e uma lista de recomendações para ajudar a mitigar os incidentes
02/04/2024
A Cisco lançou um conjunto de recomendações para ajudar os clientes a mitigar ataques de password spraying. Neste tipo de ataques os principais alvos são os serviços de VPN de Acesso Remoto configurados em dispositivos Cisco Secure Firewall. Um ataque de password spraying implica que um cibercriminoso tente fazer login com a mesma senha e com várias contas. O guia de mitigação da Cisco é composto por uma lista de indicadores de comprometimento para este tipo de ataques, de forma a ajudar a detetar e bloquear ataques. Um dos pontos da lista inclui a incapacidade de estabelecer conexões VPN com o Cisco Secure Client aquando da ativação da firewall. Outro dos sinais é o elevado número de solicitações de autenticações registadas pelos logs do sistema. As recomendações da Cisco incluem o registo em log num servidor syslog remoto para melhorar a análise e a correlação de incidentes, a proteção de perfis VPN de acesso remoto padrão, nomeadamente perfis de conexão padrão não utilizados para um servidor AAA de forma a impedir o acesso não autorizado, entre outras recomendações. Em declarações ao BleepingComputer, Aaron Martin, investigador de segurança, revela que a atividade observada pela Cisco tratar-se-á de um bonet de malware, não documentado, e designado pelo especialista como “Brutus”. Os primeiros ataques observados por Aaron Martin visavam dispositivos SSLVPN da Fortinet, da Palo Alto, da SonicWall e da Cisco. No entanto, os mesmos acabaram por se expandir, incluindo aplicações web que recorrem ao Active Directory para autenticação. |