S.E.Book
Переслано от SecAtor
Исследователи обращают внимание на масштабную волну сканирований, нацеленных на устройства Cisco, основной фокус которой направлена на межсетевые экраны ASA и VPN-шлюзы AnyConnect.
Причем это уже вторая подобная волна, зафиксированная за последние месяцы.
При том, что первая волна предшествовала обнаружению 0-day Cisco ASA.
Одновременно с этимют внимание на зафиксировала 500%-ный рост числа сканирований панелей авторизации Palo Alto Networks, что также обычно предшествует появлению активных эксплойтов.
Активность достигла пика 3 октября, когда в ней было задействовано более 1285 уникальных IP-адресов, ориентированных на профили GlobalProtect и PAN-OS.
Ранее ежедневно показатели сканирований не превышали 200 адресов.
Большинство наблюдаемых IP относились к США, меньшие кластеры базировались в Великобритании, Нидерландах, Канаде и России.
Исследователи утверждают, что один кластер активности сосредоточил свой трафик на целях в Соединенных Штатах, а другой - на Пакистане.
По данным GreyNoise, 91% IP-адресов были классифицированы как подозрительные. Ещё 7% были помечены как вредоносные.
Исследователи GreyNoise полагают, что эта активность носит целевой характер и может указывать на подготовку к будущим атакам с использованием новых эксплойтов для 0- или n-day, как это было уже с упомянутым Cisco ASA.
Тем не менее GreyNoise утверждает, что наблюдаемая корреляция все же слабее для наблюдаемых сканирований, сосредоточенных на продуктах Palo Alto Networks.
В Palo Alto пока также не обнаружили никаких признаков взлома. Но это только пока, все может измениться.
И, наконец, отмечен также рост числа попыток эксплуатации старой уязвимости обхода пути в Grafana, которая отслеживатемся как CVE-2021-43798 и использовалась в декабре 2021 года в ходе атак в качестве нуля.
GreyNoise зафиксировала 110 уникальных вредоносных IP-адресов, большинство из которых в Бангладеш, с которых осуществлялись атаки 28 сентября.
Цели в основном располагались в США, Словакии и на Тайване, причем соотношение пунктов назначения атак было одинаковым в зависимости от конкретного источника, что обычно указывает на автоматизацию.
Причем это уже вторая подобная волна, зафиксированная за последние месяцы.
При том, что первая волна предшествовала обнаружению 0-day Cisco ASA.
Одновременно с этимют внимание на зафиксировала 500%-ный рост числа сканирований панелей авторизации Palo Alto Networks, что также обычно предшествует появлению активных эксплойтов.
Активность достигла пика 3 октября, когда в ней было задействовано более 1285 уникальных IP-адресов, ориентированных на профили GlobalProtect и PAN-OS.
Ранее ежедневно показатели сканирований не превышали 200 адресов.
Большинство наблюдаемых IP относились к США, меньшие кластеры базировались в Великобритании, Нидерландах, Канаде и России.
Исследователи утверждают, что один кластер активности сосредоточил свой трафик на целях в Соединенных Штатах, а другой - на Пакистане.
По данным GreyNoise, 91% IP-адресов были классифицированы как подозрительные. Ещё 7% были помечены как вредоносные.
Исследователи GreyNoise полагают, что эта активность носит целевой характер и может указывать на подготовку к будущим атакам с использованием новых эксплойтов для 0- или n-day, как это было уже с упомянутым Cisco ASA.
Тем не менее GreyNoise утверждает, что наблюдаемая корреляция все же слабее для наблюдаемых сканирований, сосредоточенных на продуктах Palo Alto Networks.
В Palo Alto пока также не обнаружили никаких признаков взлома. Но это только пока, все может измениться.
И, наконец, отмечен также рост числа попыток эксплуатации старой уязвимости обхода пути в Grafana, которая отслеживатемся как CVE-2021-43798 и использовалась в декабре 2021 года в ходе атак в качестве нуля.
GreyNoise зафиксировала 110 уникальных вредоносных IP-адресов, большинство из которых в Бангладеш, с которых осуществлялись атаки 28 сентября.
Цели в основном располагались в США, Словакии и на Тайване, причем соотношение пунктов назначения атак было одинаковым в зависимости от конкретного источника, что обычно указывает на автоматизацию.
X (formerly Twitter)
Defused (@DefusedCyber) on X
?A large-scale Cisco bruteforcing campaign involving at least 58 (!) different IP addresses is currently ongoing
Actor is using generic Cisco-related user-password combinations on multiple Cisco ASA honeypots
IPs involved ?
178.130.47.188
178.130.47.171
178.130.47.61
13 2.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram