大規模な協調攻撃キャンペーンが発覚

サイバーセキュリティ研究機関のGreyNoiseは、企業VPN認証システムを標的とした大規模かつ協調的な攻撃キャンペーンを確認しました。攻撃者は、特定の脆弱性を悪用するのではなく、認証情報ベースの攻撃を通じてCisco SSL VPNおよびPalo Alto Networks GlobalProtectサービスへの侵入を試みています。このキャンペーンは12月中旬の2日間に集中して活動が観測され、企業のアクセスポイントを危険にさらす洗練された手法が明らかになりました。

Palo Alto Networks GlobalProtectへの攻撃詳細

このキャンペーンは、12月11日にPalo Alto Networks GlobalProtectポータルを標的とした自動ログイン試行が急増したことから始まりました。GreyNoiseの観測によると、わずか16時間以内に約170万回のログインセッションが生成され、これは1万以上のユニークなIPアドレスから発信されていました。攻撃トラフィックは主に米国、パキスタン、メキシコに位置するGlobalProtectポータルを狙っており、すべてのリクエストはドイツのホスティングプロバイダーである3xK GmbHが管理するインフラから発生していました。

攻撃者は一貫した攻撃パターンを採用しており、一般的なユーザー名とパスワードの組み合わせを再利用し、自動攻撃としては珍しいFirefoxユーザーエージェントを使用していました。この一貫性は、キャンペーンが保護が不十分な、または露出しているGlobalProtectポータルを特定し、大規模にインベントリ化することを目的として設計されたことを示唆しています。

Cisco SSL VPNへの攻撃に移行

1日後の12月12日、同じ脅威アクターは標的をCisco SSL VPNエンドポイントへと切り替えました。この際、攻撃元のユニークIPアドレスは、通常の200未満というベースラインから、著しく多い1,273にまで急増しました。分析により、この活動がPalo Altoへの攻撃と同一のインフラ、TCPフィンガープリント、および発信元のホスティングプロバイダーを共有していることが確認されました。

ログイン試行は、CSRFトークン処理やパラメーター化されたユーザー名・パスワードフィールドを含む標準的なSSL VPN認証ワークフローに沿って行われていました。これらのリクエストは、盗まれた、または一般的な認証情報の組み合わせを企業システムに対して試行する、認証情報スタッフィングおよびパスワードスプレー技術と一致しています。GreyNoiseは、このキャンペーンがCisco Talosが標的としたCisco Secure Email Gatewayサービスへの別のキャンペーンとは関連性がないことを確認しています。

GreyNoiseの対応と提言

GreyNoiseは、Palo Alto Networks Login ScannerとCisco SSL VPN Bruteforcerの両方に対応するブロックリストを公開しており、これにより顧客は悪意のあるIPアドレスを迅速にブロックできるようになっています。同社は引き続きキャンペーンを監視し、新たな情報が得られ次第更新を提供する予定です。

今回の攻撃は、企業VPNインフラへの絶え間ない脅威を浮き彫りにし、ネットワーク境界における強力なアクセス制御と継続的な監視の重要性を強調するものです。

元記事: https://gbhackers.com/hackers-actively-target-cisco-and-palo-alto-vpn-gateways/