Sinds maart liggen Cisco ASA SSL VPN’s onder vuur door aanvallen die zich vooral richten op het gebrek aan MFA’s. Hackers proberen netwerken vooral te kraken via brute-force-aanvallen.
Een week geleden erkende Cisco dat zijn ASA SSL VPN’s sinds maart worden aangevallen. Het gaat vooral om systemen zonder multifactor authenticatie, waardoor brute-force de aanval naar keuze is voor hackers. Het is aanvallers vooral om netwerktoegang te doen, om vervolgens ransomware te installeren, zoals (het relatief nieuwe) Akira of LockBit.
Extra info
Inmiddels zorgde cybersecuritybedrijf Rapid7 voor meer inzicht in deze aanvallen. Naast brute-force-aanvallen merkte het bedrijf ook aanvallen via credential stuffing op. Rapid7 kon al zeker elf slachtoffers identificeren, waaronder firma’s die actief zijn in gezondheidszorg of in olie en gas. Het securitybedrijf geeft ook aan nauw samen te werken met Cisco voor deze incidenten.
lees ook
Cisco en Nutanix bouwen samen aan hybride multicloud
Begin deze maand kondigde Cisco nog de samenwerking met Cohesity aan, waardoor het zijn klanten nu sneller kan helpen in schadebeperking na een, jawel, aanval met ransomware. Hiermee zet het bedrijf nog een keer hun grotere focus op veiligheid in de verf.
Rapid7 deelde ook een aantal details over de aanvallen. Hackers probeerden bijvoorbeeld een lijst van voor de hand liggende log-ins voor toegang tot Adaptive Security Appliance VPN’s, zoals in dit geval: cisco, admin, guest of security. Dat is volgens de veiligheidsonderzoekers een duidelijke indicatie van een brute-force-aanval.
Een opvallende opmerking in het rapport van Rapid7 is dat VPN’s met een volledig actieve MFA gevrijwaard bleven van enige schade. Dat benadrukt nog maar een keer het enorme belang van zo’n extra laag beveiliging.