GreyNoiseは、CiscoおよびPalo Alto NetworksのVPNログインポータルを悪用する、協調した認証情報ベースのキャンペーンを特定した。
セキュリティ研究者は、CiscoおよびPalo Alto NetworksのVPN認証エンドポイントを標的とした、協調した認証情報ベースのキャンペーンを警告した。
12月中旬のわずか2日間で、攻撃者はCiscoのSSL VPNとPalo Alto NetworksのGlobalProtectサービスに対し、大規模な自動ログイン試行を仕掛けた。
GreyNoiseの分析では、このキャンペーンはソフトウェアのバグを悪用するのではなく、ユーザー名とパスワードの組み合わせを大規模に試行することに依存していると指摘した。「一貫したインフラの利用とタイミングは、複数のVPNプラットフォームにまたがって展開する単一のキャンペーンであることを示している」と研究者らはブログ投稿で述べた。
GreyNoiseは、1万を超える固有の攻撃元IPアドレスにまたがる数百万件のログインセッションを確認し、高度にスクリプト化され中央集権的なキャンペーンであることを示しているとした。また、最近Cisco Secure Email GatewayおよびSecure Email and Web Managerを標的としたキャンペーンと、この活動を結び付ける証拠はないとも明確にした。
Palo Altoのポータルがログイントラフィックの波に襲われる
GreyNoiseは、12月11日にPalo Alto NetworksのGlobalProtectポータルを標的とする自動ログイントラフィックの急増を報告した。16時間の間に、エミュレートされたGlobalProtectおよびPAN-OSのログインエンドポイントに対して約170万セッションが観測された。
「エミュレート」とは、実際の顧客VPNではなく、GreyNoiseが運用するデコイ(おとり)またはシミュレートされたVPNログインページを指す。
標的となったポータルは地理的に分散しており、主に米国、パキスタン、メキシコに所在していた。一方、トラフィックはほぼ例外なく、ドイツのホスティング事業者3xk GmbHに紐づく単一のIP空間から発信されていた。ログイン試行は非常に均一なパターンに従い、一般的なユーザー名とパスワードを再利用し、さらにブラウザのようなFirefoxのユーザーエージェント文字列まで採用していた。
これは、場当たり的なスキャンではなく、スクリプト化された認証情報プローブの典型的な兆候だと研究者らは指摘した。
「このユーザーエージェント、リクエスト構造、タイミングの一貫性は、対話的なアクセス試行や脆弱性悪用ではなく、露出している、または保護が弱いGlobalProtectポータルを特定するために設計されたスクリプト化された認証情報プロービングを示唆している」と彼らは述べた。
続いてCiscoのSSL VPNへのブルートフォース
GlobalProtectの急増の翌日、同じ攻撃者インフラがCiscoのSSL VPNエンドポイントへと軸足を移し、同一のTCPフィンガープリントと同じホスティング事業者のIP空間が用いられた。GreyNoiseは、固有の攻撃元IP数が、通常の日次ベースラインである200未満から1200超へ跳ね上がったことを確認しており、ブルートフォースによるログイン試行が急増したことを示している。
より構造化されていたGlobalProtectの活動とは異なり、Cisco向けトラフィックの多くはベンダー非依存のファサードセンサーに到達していた。これは、攻撃者が既知のエンドポイントの精密な標的リストを保持しているというより、広範に探索していたことを示している。
ただし、根底にある挙動は自動化された認証情報ベースの認証試行のままだった。
GreyNoiseの開示は、防御側に対し、強力なパスワードと多要素認証(MFA)の強制、想定外のログイン試行がないか露出したエッジデバイスを監査すること、脅威インテリジェンスのブロックリストを活用して境界で悪性IPをフィルタリングすることなど、認証衛生の強化を促している。この開示では、同社プラットフォームの顧客向けに加え、GreyNoise以外のユーザー向けにもブロックリストが共有された。
