目前，一場大規(guī)模的暴力破解密碼攻擊正在進行中，攻擊者利用近280萬個IP地址，試圖破解包括Palo Alto Networks、Ivanti和SonicWall在內(nèi)的多種網(wǎng)絡設備的登錄憑證。

什么是暴力破解攻擊？

暴力破解攻擊是指威脅行為者反復嘗試大量使用用戶名和密碼組合登錄賬戶或設備，直到找到正確的組合。一旦他們獲得了正確的憑證，就可以利用這些憑證劫持設備或入侵網(wǎng)絡。

根據(jù)威脅監(jiān)控平臺The Shadowserver Foundation的報告，自去年以來，這種暴力破解攻擊一直在持續(xù)，每天有近280萬個源IP地址參與其中。其中，大部分IP地址（110萬個）來自巴西，其次是土耳其、俄羅斯、阿根廷、摩洛哥和墨西哥，涉及眾多國家。

攻擊目標與手段

這些攻擊主要針對邊緣安全設備， 比如防火墻、VPN、網(wǎng)關和其他安全設備，這些設備通常暴露在互聯(lián)網(wǎng)上，以便于遠程訪問。而發(fā)動攻擊的設備大多是MikroTik、華為、思科、Boa和中興的路由器和物聯(lián)網(wǎng)設備，這些設備通常被大型惡意軟件僵尸網(wǎng)絡攻陷。

Shadowserver Foundation在聲明中確認，這種活動已經(jīng)持續(xù)了一段時間，近期規(guī)模發(fā)生了顯著擴大。他們還表示，攻擊IP地址分布在許多網(wǎng)絡和自治系統(tǒng)中，很可能是僵尸網(wǎng)絡或與住宅代理網(wǎng)絡相關的操作。

住宅代理的濫用

住宅代理是互聯(lián)網(wǎng)服務提供商（ISP）分配給家庭用戶的IP地址，因其能夠偽裝成普通家庭用戶流量，常被用于網(wǎng)絡犯罪、數(shù)據(jù)抓取、繞過地理限制、廣告驗證、搶購鞋票等非法活動。這些代理通過住宅網(wǎng)絡路由流量，使攻擊行為更難被檢測。

此次被攻擊的網(wǎng)關設備可能被用作住宅代理操作中的出口節(jié)點，通過企業(yè)網(wǎng)絡路由惡意流量。由于這些企業(yè)網(wǎng)絡通常信譽良好，因此攻擊行為更隱蔽，更難被發(fā)現(xiàn)和阻止。

如何保護邊緣設備？

為了保護邊緣設備免受暴力破解攻擊，建議采取以下措施：更改默認管理員密碼為強且獨特的密碼；啟用多因素認證（MFA）；僅允許可信IP地址訪問；如無必要，禁用Web管理界面。此外，及時更新設備的最新固件和安全補丁，修復漏洞，是防止攻擊者入侵的關鍵。

去年4月，思科曾警告稱，全球范圍內(nèi)針對思科、CheckPoint、Fortinet、SonicWall和Ubiquiti設備的大規(guī)模暴力破解活動正在展開。同年12月，Citrix也發(fā)出警告，稱全球范圍內(nèi)的Citrix Netscaler設備正遭受密碼噴射攻擊。

來源：FreeBuf