劈波斩浪：Cisco VPN 设备遭遇暴力破解攻击

关键要点

• Cisco Adaptive Security Appliance (ASA) SSL VPNs 自三月以来遭受暴力破解攻击。
• 至少 11 家组织在三月 30 日到八月 24 日间遭到相关入侵。
• 使用常见用户名及类似攻击基础设施是主要入侵手段。
• 入侵后，攻击者通过 AnyDesk 远程桌面软件访问网络，并利用窃取的域凭据影响其他系统。
• 一些攻击还促进了 Akira 和 LockBit 勒索软件的部署。
• 事件表明，弱密码和缺乏多因素认证的现象依然普遍。

BleepingComputer 报导，自三月以来，针对脆弱的 Cisco ASA SSL VPN 的暴力破解攻击如潮水般袭来。根据 Rapid7的一份报告，从 2023 年 3 月 30 日到 8 月 24 日，至少有 11 家组织因 Cisco ASA SSL VPN的相关入侵而受到影响。大多数事件中，攻击者利用常见用户名进入 ASA 设备，并使用类似的攻击基础设施。

被攻击的组织借助 AnyDesk 远程桌面软件，攻击者随即访问了其网络。而窃取的域凭据也被用来影响其他系统。该报告还指出，部分针对 Cisco VPN设备的攻击促进了 Akira 和 LockBit 勒索软件的部署。

“这些事件强化了使用弱或默认凭据的现象相当普遍，并且由于企业网络对于多因素认证的执行松懈，导致凭据往往得不到保护，” Rapid7 表示。

此次发现也印证了 SentinelOne WatchTower 报告中的说法，即 Akira 操作员可能已针对未启用多因素认证的 Cisco VPN进行攻击。

攻击类型 | 影响的组织数量 | 攻击时间范围 | 主要攻击方法
—|—|—|—
暴力破解攻击 | 至少 11 家 | 2023 年 3 月 30 日 – 8 月 24 日 | 使用常见用户名
勒索软件部署 | 不确定 | 多次发生 | Akira 和 LockBit

确保网络安全，尤其是在企业环境中，时刻关注软件的多因素认证设置至关重要。虽然技术在不断进步，但攻击者的策略也在不断演变，保持警惕才是王道。