据多家威胁情报平台监测与报道,在2024年12月中旬,针对主流企业VPN网关的大规模自动化攻击活动集中爆发。攻击目标直指思科(Cisco)的SSL VPN与Palo Alto Networks的GlobalProtect门户,在短时间内记录了数百万次登录尝试。此次事件凸显了攻击者持续探测外围身份验证端点、寻找弱凭证的顽固性。
攻击活动概述
安全情报提供商GreyNoise的传感器网络记录显示,从2024年12月11日开始,针对Palo Alto Networks GlobalProtect VPN门户(该远程访问网关被全球众多企业与政府机构使用)的自动化登录尝试激增。在大约16小时内,系统检测到的会话数高达约170万次,攻击源遍布超过1万个独立IP地址。
次日(12月12日),类似的攻击火力转向了思科的SSL VPN端点。在24小时内,攻击源IP数量从通常少于200个的基线水平,飙升至超过1200个不同的源头,这与正常的背景流量噪声形成了显著偏离。
尽管攻击流量规模庞大,但GreyNoise及其他分析人员指出,此次活动的主要驱动力似乎是基于凭证的探测和“密码喷洒”技术,而非利用了影响这些VPN产品的特定软件漏洞。这强调了强化身份验证措施和监控异常登录行为在网络安全防护中的重要性。
Cisco SSL VPN 活动追踪详情
12月12日,GreyNoise观察到了针对Cisco SSL VPN端点的机会性暴力破解登录尝试急剧上升。每日独立攻击IP数量跃升至1,273个,远超平时基线。大部分流量指向了GreyNoise部署的与厂商无关的“外观”传感器,这些传感器监听多个端口,这一特征表明攻击活动更具机会性,而非高度定向。
深入分析表明,此次针对思科VPN的活动与本周早些时候观察到的Palo Alto GlobalProtect攻击,在基础设施和所用工具上存在关联。两者具有相同的TCP网络指纹,并且攻击流量均源自同一家托管服务提供商3xK GmbH的IP地址空间。这种基础设施的重用,是追踪高级持续性威胁(APT)或大规模自动化攻击活动的常见线索。对于企业运维与安全团队而言,建立有效的威胁检测与响应机制至关重要。
核心结论与建议:
此次事件是一次典型的大规模凭证填充攻击。攻击者利用自动化脚本,尝试使用从其他渠道泄露或常用的用户名密码组合,对暴露在公网上的VPN登录门户进行“撞库”。防御此类攻击的关键在于:
- 启用多因素认证(MFA):这是最有效的屏障,能极大缓解凭证泄露带来的风险。
- 实施严格的密码策略:强制使用强密码并定期更换。
- 监控与告警:对登录失败、异地登录等异常行为设置阈值告警。
- 限制访问源:在条件允许时,通过防火墙策略仅允许可信IP地址段访问VPN网关。
企业需审视其远程访问安全架构,确保核心的后端服务与资产不会因单一的凭证泄露而暴露在风险之中。
参考来源:GreyNoise Blog - Credential-Based Campaign Targets Cisco & Palo Alto Networks VPN Gateways | 
发表于 4 天前
|
查看: 16|
回复: 0
