Författare
Simon Sköldborg
SOC @ Asurgent
Read time
4 min
4 september 2023
Cisco ASA SSL VPN-applikationer är en typ av nätverkstjänst som möjliggör fjärranvändaren att säkert få åtkomst över ett privat nätverk över internet.
Under augusti 2023 så rapporterade Rapid7 och Cisco om en ökad hotaktivitet som riktas mot Cisco ASA SSL VPN-applikationer, både fysiska och virtuella. Detta har man kunnat spåra tillbaka till åtminstone Mars 2023, enligt Rapid7. I vissa fall har hotaktörer genomfört en så kallad “credential stuffing” som går ut på att utnyttja tidigare läckta inloggningsuppgifter från Darkweb, och i andra fall har det varit riktade brute force-attacker mot ASA-applikationerna där MFA (multifaktorautentisering) saknats helt eller för vissa användare. Detta har resulterat i ett flertal incidenter som ransomwaregrupperna “Akira” och “LockBit” har varit bakom.
Vad för mönster hotaktörerna har riktat in sina attacker mot har varit blandat. Attacker har hittills drabbat olika organisationer i olika branscher, bl.a. hälso- och sjukvård, tillverkning och olja/gas. Enligt Rapid7 så har man endast sett lyckade attacker mot branscher och organisationer där just MFA-konfigureringen inte har varit säker, eller saknats helt.
I de flesta incidenterna som undersöktes så såg man hotaktörer som försökte logga in på ASA-applikationer med användarnamn såsom;
- admin
- guest
- printer
- root
- test
- security
- developer
- demo
Ovanstående exempel är användarnamn som används av många, men som också finns i varje namnlista för brute force-verktyg där ute. Precis som i detta fall då vissa av dessa användarnamn faktiskt användes.
Efter analyserna som gjordes av Rapid7 så identifierades flera områden där de observerade IOCs (Indicator of Compromise). Windows-klientnamnet “WIN-R84DEUE96RB” var ofta associerat med hotaktörers infrastruktur, tillsammans med IP-adresserna 176.124.201[.]200 samt 162.35.92[.]242. Man såg också överlappningar i de konton som användes för autentisering i de interna systemen, inklusive användningen av konton som “TEST, “CISCO”, “SCANUSER” och “PRINTER”.
Även metoderna för att skaffa access, det vill säga brute force-attacker eller utnyttjande av läckta inloggningsuppgifter har varit gemensamt för dessa incidenter.
För att minimera risken för att bli utsatt för denna, eller liknande attack bör organisationer se till att;
Läs mer:
Akira Ransomware Targeting VPNs without Multi-Factor Authentication - Cisco Blogs
Under Siege: Rapid7-Observed Exploitation of Cisco ASA SSL VPNs | Rapid7 Blog
Bevaka dark web
Cybersäkerhet idag sträcker sig bortom företagets murar och handlar inte längre enbart om att övervaka den interna miljön efter intrång.
Cyber Threat Intelligence är en säkerhetstjänst som är designad för att övervaka era tillgångar, ert data och ert bolagsnamn på Clear, Deep och Dark web. Syftet med tjänsten är att kunna identifiera nuvarande- och kommande risker innan de realiseras mot er organisation.
Detta är möjligt genom att granska omvärlden, kommande angrepp och attacker samt snabbt kunna identifiera och agera på hackade och kapade konton som möjliggör accesser till er organisation.
Tjänsten möjliggör även granskning av benämningar av ert bolagsnamn för att kunna identifiera om er data skulle vara läckt och eventuellt vara till salu.
Prenumerera på vårt nyhetsbrev för att ha koll på senaste nytt inom molnsfären.