大规模暴力破解攻击利用 280 万 IP 地址瞄准 VPN 设备

一场利用近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，试图猜测多种网络设备的登录凭证，包括Palo Alto Networks公司、Ivanti 公司以及 SonicWall 公司的设备。

暴力破解攻击是指威胁分子尝试用大量用户名和密码反复登录账户或设备，直到找到正确的组合。一旦他们获得了正确的登录凭证，这些威胁分子就可以利用这些凭证来劫持设备或获取网络访问权限。

据威胁监测平台 “影子服务器基金会”（The Shadowserver Foundation）称，自上个月起，这种暴力破解攻击一直在持续，每天动用近 280 万个源 IP 地址来实施攻击。

其中大多数（110 万个）来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但总体上参与这一活动的来源国家数量非常多。

这些是诸如防火墙、VPN、网关以及其他安全设备之类的边缘安全设备，通常暴露在互联网上以方便远程访问。

发起这些攻击的设备大多是 MikroTik、华为、思科、Boa 和中兴的路由器以及物联网设备，这些设备通常被大型恶意软件僵尸网络攻陷。

“影子服务器基金会” 在给 BleepingComputer 的一份声明中证实，这一活动已经持续了一段时间，但最近规模大幅扩大。

“影子服务器” 还表示，攻击 IP 地址分布在许多网络和自治系统中，很可能是僵尸网络或与住宅代理网络相关的某种操作。

住宅代理是互联网服务提供商（ISP）分配给消费者客户的 IP 地址，因其在以下方面用途广泛而备受青睐：网络犯罪、网页抓取、地理限制绕过、广告验证、球鞋 / 票务倒卖等。

这些代理通过住宅网络路由互联网流量，使用户看起来像是普通家庭用户，而非机器人、数据抓取者或黑客。

此次攻击所针对的网关设备，如防火墙等，可能会被用作住宅代理操作的代理出口节点，通过组织的企业网络路由恶意流量。

这些节点被认为是 “高质量” 的，因为组织通常声誉良好，攻击更难被发现和阻止。

保护边缘设备免受暴力破解攻击的措施包括：将默认管理员密码更改为强密码且独一无二的密码、强制执行多因素身份验证（MFA）、使用可信 IP 的允许列表，以及如果不需要则禁用网络管理界面。

最后，对这些设备应用最新的固件和安全更新至关重要，因为这可以消除威胁分子可利用来获得初始访问权限的漏洞。

去年 4 月，思科曾警告称，针对思科、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 设备的大规模凭证暴力破解活动在全球范围内展开。

去年 12 月，Citrix 也曾警告称，针对 Citrix Netscaler 设备的密码喷射攻击在全球范围内发生。

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文