最后更新于2023年9月7日星期四14:02:21 GMT

泰勒斯塔克斯, 克里斯蒂安·发现, 罗伯特·克纳普, 扎克代顿, 凯特琳·康登对这个博客也有贡献.

Rapid7的管理检测和响应(MDR)团队发现,针对思科ASA SSL VPN设备(物理和虚拟)的威胁活动至少可以追溯到2023年3月. 在某些情况下, adversaries have conducted credential stuffing attacks that leveraged weak or default passwords; in others, 我们观察到的活动似乎是针对ASA设备的有针对性的暴力攻击的结果,其中多因素身份验证(MFA)要么没有启用,要么没有对所有用户强制执行.e.,通过MFA旁路组). 我们的管理服务团队应对的几起事件以Akira和LockBit团队部署的勒索软件告终.

目标组织或垂直领域之间没有明确的模式. 受害组织的规模各不相同,并跨越了医疗保健领域, 专业服务, 制造业, 还有石油和天然气, 还有其他垂直行业. 我们在这个博客中包含了入侵指标(ioc)和攻击者行为观察, 以及实用的建议,以帮助组织加强其安全态势,以应对未来的攻击. Note: Rapid7没有观察到任何绕过或逃避正确配置的MFA.

在我们的调查过程中,Rapid7一直在积极与思科合作. 8月24日,思科产品安全事件响应小组(PSIRT) 发表博客 概述了他们观察到的攻击策略,其中许多与Rapid7的观察结果重叠. 我们感谢思科为保护用户而提供的合作和分享信息的意愿.

观察到的攻击者行为

Rapid7发现至少有11个客户在3月30日至8月24日期间遭遇了思科asa相关的入侵, 2023. 我们的团队将恶意活动追溯到为远程用户提供SSL vpn服务的ASA设备. ASA设备补丁因受感染设备而异- Rapid7没有识别出任何特别容易被利用的特定版本.

在我们对这些入侵的分析中,Rapid7在观察到的ioc中发现了多个重叠区域. Windows客户端名称 WIN-R84DEUE96RB 通常与威胁行为者的基础设施以及IP地址联系在一起 176.124.201[.]200 and 162.35.92[.]242. 我们还看到了用于验证进入内部系统的帐户的重叠, 包括账户的使用 TEST, CISCO, SCANUSER, and 打印机. 在一些情况下,用户域帐户还用于成功地对内部资产进行身份验证, 日志含义攻击者第一次认证成功, 这可能表明受害者账户使用的是弱凭证或默认凭证.

下图是一个匿名日志条目,攻击者试图(失败)登录到Cisco ASA SSL VPN服务. 在我们对不同事件响应案例的日志文件的分析中, 我们经常观察到登录尝试失败的时间间隔只有几毫秒, 哪些指向自动攻击.

在我们调查的大多数事件中, 威胁行为者试图使用一组通用用户名登录ASA设备, 包括:

  • admin
  • adminadmin
  • backupadmin
  • kali
  • cisco
  • guest
  • 会计
  • 开发人员
  • ftp用户
  • 培训
  • test
  • 打印机
  • echo
  • 安全
  • 检查员
  • 测试测试
  • snmp

以上是一个相当标准的帐户列表,可能指向使用暴力强制工具. 在某些情况下,尝试登录的用户名属于实际的域用户. 但我们没有确切的证据证明受害者身份被泄露, 我们意识到有可能使用该路径暴力破解Cisco ASA服务 + CSCOE + /登录.htm. VPN组名称也可以在VPN端点登录页面的源代码中看到,并且可以很容易地提取, 哪些可以帮助暴力攻击.

对内部资产进行成功身份验证后,将部署威胁参与者 set.bat. 执行 set.bat 导致远程桌面应用程序AnyDesk的安装和执行, 的密码 greenday # @!. 在某些情况下, nd.exe 是否在转储系统上执行 NTDS.DIT, 以及SAM和SYSTEM蜂巢, 这可能使攻击者能够访问额外的域用户凭据. 威胁行为者在目标环境中的其他系统上进行进一步的横向移动和二进制执行,以增加妥协的范围. 如前所述, 几次入侵最终导致了Akira或lockbit相关勒索软件二进制文件的部署和执行.

暗网活动

同时对基于asa的入侵进行事件响应调查, Rapid7威胁情报团队一直在监视地下论坛和Telegram频道,以了解威胁参与者对这类攻击的讨论. 2023年2月, 一个名为“Bassterlord”的知名初始访问代理在XSS论坛上出售侵入企业网络的指南. 这本指南包括SSL VPN暴力破解的章节,售价为1万美元.

当其他几个论坛开始泄露指南的信息时, Bassterlord在Twitter上发布了关于转向内容租赁模式,而不是批发销售指南的帖子:

Rapid7获得了一份泄露的手册副本,并分析了其内容. 值得注意的是, 作者声称他们已经妥协了,865 Cisco SSL VPN业务和9,870用户名密码组合的Fortinet VPN业务 测试:测试. 有可能, 考虑到暗网讨论的时机以及我们观察到的威胁活动的增加, 该手册的说明导致了针对思科ASA vpn的暴力攻击的增加.

妥协指标

Rapid7识别了以下IP地址,这些IP地址与被破坏的内部资产的源身份验证事件相关联, 以及AnyDesk的出站连接:

  • 161.35.92.242
  • 173.208.205.10
  • 185.157.162.21
  • 185.193.64.226
  • 149.93.239.176
  • 158.255.215.236
  • 95.181.150.173
  • 94.232.44.118
  • 194.28.112.157
  • 5.61.43.231
  • 5.183.253.129
  • 45.80.107.220
  • 193.233.230.161
  • 149.57.12.131
  • 149.57.15.181
  • 193.233.228.183
  • 45.66.209.122
  • 95.181.148.101
  • 193.233.228.86
  • 176.124.201.200
  • 162.35.92.242
  • 144.217.86.109

其他被观察到进行暴力破解尝试的IP地址:

  • 31.184.236.63
  • 31.184.236.71
  • 31.184.236.79
  • 194.28.112.149
  • 62.233.50.19
  • 194.28.112.156
  • 45.227.255.51
  • 185.92.72.135
  • 80.66.66.175
  • 62.233.50.11
  • 62.233.50.13
  • 194.28.115.124
  • 62.233.50.81
  • 152.89.196.185
  • 91.240.118.9
  • 185.81.68.45
  • 152.89.196.186
  • 185.81.68.46
  • 185.81.68.74
  • 62.233.50.25
  • 62.233.50.17
  • 62.233.50.23
  • 62.233.50.101
  • 62.233.50.102
  • 62.233.50.95
  • 62.233.50.103
  • 92.255.57.202
  • 91.240.118.5
  • 91.240.118.8
  • 91.240.118.7
  • 91.240.118.4
  • 161.35.92.242
  • 45.227.252.237
  • 147.78.47.245
  • 46.161.27.123
  • 94.232.43.143
  • 94.232.43.250
  • 80.66.76.18
  • 94.232.42.109
  • 179.60.147.152
  • 185.81.68.197
  • 185.81.68.75

上述许多IP地址由以下提供商托管:

  • 长威科技有限公司. 有限的
  • Flyservers年代.A.
  • Xhost互联网解决方案有限公司
  • NFOrce娱乐B.V.
  • VDSina托管

基于指标:

  • 尝试使用无效的用户名和密码组合登录(%ASA-6-113015)
  • 针对意外配置文件/ tg创建(尝试)RAVPN会话(%ASA-4-113019), % asa - 4 - 722041, % asa - 7 - 734003)

缓解指导

As Rapid7的年中威胁评估 指出, 几乎占所有事故的40% 我们的管理服务团队在2023年上半年的回应是由于VPN或虚拟桌面基础架构上缺乏MFA. 这些事件表明,使用弱凭证或默认凭证仍然很常见, 而且,由于企业网络中的MFA执行不力,一般来说,凭证往往得不到保护.

为了降低本博客中概述的攻击者行为的风险,组织应该:

  • 确保默认帐户已禁用或密码已从默认重置.
  • 确保在所有VPN用户中执行MFA,尽可能限制此策略的例外情况.
  • 启用vpn登录:思科有专门针对ASA的相关信息 here,以及从ASA设备中收集法医证据的指导 here.
  • 监控VPN日志,查看发生在员工预期位置之外的身份验证尝试.
  • 监控VPN认证失败的日志, 寻找暴力破解和密码喷洒模式.
  • 作为最佳实践, 随时更新vpn安全问题的补丁, 虚拟桌面基础架构, 以及其他网关设备.

Rapid7正在监控MDR客户的异常身份验证事件以及暴力破解和密码喷洒的迹象. 适用于insighttidr和MDR客户, 本博客中部署了以下非详尽的检测规则列表,并对与攻击模式相关的活动发出警报:

  • 攻击者技术- NTDS文件访问
  • 攻击工具-冲击横向移动
  • 由SoftPerfect网络扫描器生成的进程
  • 从ProgramData的根执行

各种消息来源最近 发表作品 他指出,勒索软件组织似乎瞄准了思科的vpn,以进入企业网络. Rapid7强烈建议您阅读本博客和本文中的IOCs和相关信息 思科的PSIRT博客 并采取措施加强VPN实施的安全态势.

更新

9月6日,思科 发表咨询意见 cve - 2023 - 20269, 一个影响ASA和火力威胁防御远程访问vpn的未授权访问漏洞. 根据建议, CVE-2023-20269是由于认证分离不当造成的, 授权, 远程接入VPN特性与HTTPS管理和点到点VPN特性之间的AAA (AAA). 成功利用可能允许未经身份验证的, 远程攻击者进行暴力攻击,试图识别有效的用户名和密码组合或通过身份验证, 远程攻击者与未授权用户建立无客户端SSL VPN会话.

CVE-2023-20269在野外被利用,它与Rapid7观察到的一些行为有关,并在本博客中概述. 思科ASA和FTD的软件更新正在等待中. 与此同时,思科在其网站上提供了解决方案和其他信息 咨询.