Cisco ได้ออกมาประกาศเตือนถึงแคมเปญการโจมตี แบบ Password Spraying Attacks ที่มุ่งเป้าโจมตีระบบ VPN โดยเฉพาะ
Cisco ได้ออกมาเตือนผู้ดูแลระบบที่ใช้งาน Remote Access VPN (RAVPN) Service บนอุปกรณ์ Cisco Secure Firewall หลังจากได้รับรายงานการโจมตีจำนวนมากที่เกิดขึ้นกับระบบดังกล่าว โดยผู้โจมตีใช้เทคนิคการทำ Password Spraying Attacks เป็นการคาดเดารหัสผ่านของบัญชีในกระบวนการยืนยันตัวตน ซึ่งจะทำพร้อมกันหลายบัญชีในคราวเดียว ส่งผลให้บัญชีผู้ใช้งานอาจถูกล็อก หรือเกิดเป็นการโจมตีลักษณะ Denial of Service (DoS) ได้ อย่างไรก็ตามจากรายงานของ Cisco Talos พบว่าการโจมตีลักษณะนี้ไม่ได้เกิดขึ้นเฉพาะบนอุปกรณ์ Cisco เท่านั้น แต่ยังรวมถึงการโจมตีไปยัง VPN concentrator ของ 3rd-party รายอื่นอีกด้วย
Cisco ได้เตือนผู้ดูแลระบบให้ทำการตรวจสอบ Log ของการยืนยันตัวตนในระบบ พร้อมแนะนำการเฝ้าระวังดังนี้
- เปิดระบบ Logging และส่ง syslog ไปยัง Log Sever ส่วนกลางเพื่อใช้ในการวิเคราะห์หาการโจมตี
- ชี้ Default remote access VPN connection profile ไปยัง sinkhole AAA server หากไม่มีการใช้งาน
- ใช้งาน TCP shun เพื่อป้องกัน IP แปลกปลอม
- ปรับแต่ง ACL ช่วยป้องกัน Public IP Address ที่ไม่ได้รับอนุญาต ไม่ให้เชื่อมต่อระบบ VPN
- เปลี่ยนไปใช้งาน Certificate-based authentication สำหรับ RAVPN ซึ่งมีความปลอดภัยมากกว่า
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย Aaron Martin คาดว่าการโจมตีลักษณะนี้น่าจะมาจาก ‘Brutus’ Botnet ใช้วิธีการโจมตีที่ไม่เคยพบมาก่อน โดยตรวจพบการโจมตีเป็นครั้งแรกเมื่อวันที่ 15 มีนาคมที่ผ่านมา เริ่มต้นจากการโจมตีระบบ SSLVPN ของ Fortinet, Palo Alto, SonicWall และ Cisco มี IP Address ต้นทางมากกว่า 20,000 IP ทั่วโลก ฝังตัวอยู่ใน Cloud Service และระบบผู้ใช้งานตามบ้าน ปัจจุบันมีการมุ่งเป้าโจมตีทั้ง Web Application ที่ใช้ระบบ Active Directory ในการยืนยันตัวตนอีกด้วย