Cybersecurity-Experten bei Cisco warnen vor einer Zunahme von Password Spraying-Angriffen, die speziell VPN-Dienste ins Visier nehmen. Diese Angriffstechnik, bei der Hacker dieselben Passwörter über viele Konten hinweg verwenden, ermöglicht unbefugten Zugriff auf mehrere Systeme und birgt ein geringes Risiko bei hohem Erfolgspotenzial für die Angreifer.
Die Angriffe zielen auf VPN-Dienste ab
Cisco berichtet, dass sich diese Angriffe nicht nur gegen ihre eigenen Produkte richten, sondern auch gegen VPN-Konzentratoren von Drittanbietern. Die Angriffe können, je nach Umgebung, zu DoS-ähnlichen Zuständen führen, da Konten gesperrt werden. Der Fokus der Angreifer liegt dabei anscheinend auf der Durchführung von Aufklärungsaktionen.
Da VPNs Fernzugriff auf interne Netzwerke bieten, stellen sie ein attraktives Ziel für Hacker dar, die unbefugt in Netzwerke eindringen wollen. Die Verwendung schwacher oder wiederverwendeter Passwörter bei VPN-Diensten erhöht das Risiko erfolgreicher Password Spraying-Angriffe.
Empfehlungen zur Abwehr
Um sich gegen solche Angriffe zu schützen, empfehlen die Analysten bei Cisco unter anderem:
- Aktivierung von Protokollierungen
- Sichere Standardeinstellungen für Remote-Zugriffs-VPN-Profile
- Verwendung von TCP-Shun
- Einrichtung von Control-plane ACLs
- Einsatz von Zertifikatsbasierter Authentifizierung für Remote-Zugriffs-VPN
Indikatoren für Kompromittierung (IoCs)
Einige Symptome, die auf Password Spraying-Angriffe hindeuten, umfassen Schwierigkeiten bei der Herstellung von VPN-Verbindungen mit dem Cisco Secure Client (AnyConnect) und ungewöhnlich hohe Anzahl von Authentifizierungsanfragen, die in den „Syslogs“ der Cisco ASA oder FTD VPN-Headends sichtbar sind.
Diese Warnungen unterstreichen die Bedeutung starker Sicherheitspraktiken und die Notwendigkeit für Organisationen, ihre Cybersicherheitsmaßnahmen zu überprüfen und zu verstärken, um sich gegen solche fortgeschrittenen Angriffstechniken zu schützen.