Cisco annonce une recrudescence globale des attaques par force brute, ciblant notamment les services de Réseau Privé Virtuel (VPN), les interfaces d’authentification des applications web et les services SSH depuis le 18 mars 2024. L’origine de ces attaques semble être principalement des nœuds de sortie TOR et divers tunnels et proxies anonymisants.
Les attaques réussies pourraient permettre l’accès non autorisé aux réseaux, le verrouillage de comptes ou des conditions de déni de service, souligne la société de cybersécurité. Des dispositifs de sécurité variés tels que ceux de Cisco, Checkpoint, Fortinet, entre autres, sont dans le collimateur de ces assauts, exploitant des identifiants génériques ainsi que des noms d’utilisateurs valides pour des organisations spécifiques. Une liste complète des indicateurs d’activité suspecte, y compris les adresses IP utilisées, peut être consultée en ligne.
L’annonce fait suite à des alertes récentes concernant des attaques de type « password spray » ciblant des services VPN à accès distant, dans le cadre de ce qui est décrit comme des efforts de reconnaissance. Par ailleurs, il est révélé que des acteurs de menace continuent d’exploiter une vulnérabilité désormais corrigée affectant les routeurs TP-Link Archer AX21, pour propager des logiciels malveillants de type botnet DDoS tels que AGoent et Mirai.
Face à ces menaces, il est impératif que les utilisateurs soient prudents avec les botnets DDoS et appliquent rapidement les mises à jour de sécurité pour protéger leurs environnements réseau contre les infections. Pour illustrer, imaginez un château médiéval : les attaques par force brute essayent d’enfoncer le portail avec un bélier, tandis que l’application de correctifs serait comparable à renforcer les murs et le portail de ce château.
Par ces temps incertains, la prudence est de mise et la mise à jour des systèmes s’avère indispensable pour repousser les assauts incessants des cybercriminels.
