Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Über deutsche IP-Adressen: Hacker attackieren massenhaft VPN-Zugänge

VPN -Zugänge von Cisco und Palo Alto Networks werden angegriffen. Die Attacken scheinen primär über einen deutschen Hoster zu laufen.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Angreifer testen massenhaft Anmeldedaten durch, um VPN-Zugänge zu kapern. (Bild: pixabay.com / TBIT)
Angreifer testen massenhaft Anmeldedaten durch, um VPN-Zugänge zu kapern. Bild: pixabay.com / TBIT

Sicherheitsforscher von Greynoise warnen vor einer neuen Angriffswelle auf VPN-Appliances von Cisco und Palo Alto Networks (PAN). Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) mitteilten, attackieren die Angreifer vorwiegend über IP-Adressen des deutschen Hostinganbieters 3xK und testen verschiedene Nutzername-Passwort-Kombinationen durch, um VPN-Konten zu kapern und in Firmennetzwerke einzudringen.

Ziel der Attacken sind laut Greynoise Cisco-SSL-VPN- und PAN-Globalprotect-Instanzen. Allein am 11. Dezember beobachteten die Forscher nach eigenen Angaben Zugriffsversuche auf PAN-Geräte von mehr als 11.000 verschiedenen IP-Adressen. Die meisten anvisierten Zielsysteme befanden sich dabei in den USA, Pakistan und Mexiko.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

"Der Datenverkehr stammte fast ausschließlich aus dem IP-Bereich des Hosting-Anbieters 3xK GmbH (Deutschland), was auf eine zentralisierte, cloudbasierte Infrastruktur und nicht auf verteiltes Endbenutzerverhalten hindeutet" , erklärten die Forscher. Zudem sei in den meisten Fällen der gleiche Firefox-User-Agent verwendet worden.

Auch Cisco-Zugänge im Visier

Die selben Angreifer scheinen es ebenso auf die Cisco-VPN-Dienste abgesehen zu haben. Auch in diesem Fall erfolgten die meisten von Greynoise beobachteten Zugriffsversuche über IP-Adressen von 3xK. Und auch bei dem genutzten User-Agent sowie den TCP-Fingerprints gab es Übereinstimmungen. Regulär erfasst Greynoise täglich Anmeldeversuche an Cisco-VPNs von weniger als 200 IP-Adressen, am 12. Dezember wurde aber ein sprunghafter Anstieg auf 1.273 Adressen registriert.

Obwohl Cisco erst kürzlich eine Warnung vor einer aktiv ausgenutzten Zero-Day-Lücke herausgegeben hatte , betonen die Greynoise-Forscher, dass es sich bei den von ihnen beobachteten Attacken lediglich um Password-Spraying oder Credential-Stuffing handelt. "Die beobachteten Request-Bodies deuten eher auf automatisierte Authentifizierungsversuche auf Basis von Anmeldedaten als auf die Ausnutzung von Schwachstellen hin" , so die Forscher.

Administratoren wird empfohlen, auf die Durchsetzung sicherer Passwortrichtlinien und aktivierte Mehr-Faktor-Authentifizierungen (MFA) zu achten und ihre VPN-Appliances regelmäßig auf verdächtige Anmeldeaktivitäten zu untersuchen. Mit verdächtigem Verhalten in Verbindung gebrachte IP-Adressen sollten zudem blockiert werden.

Zur Startseite Kommentare

Relevante Themen

NetzwerkhardwareTechnik/HardwareSecurityCybercrimeUnternehmenVPNDatensicherheitPasswort