偵測到 280 萬個 IP 針對 VPN 裝置發動大規模暴力攻擊

全球安全研究人員警告稱，一場大規模暴力攻擊正在發生，攻擊使用近 280 萬個 IP 位址試圖猜測各種網路設備的登入憑證，包括 Palo Alto Networks、Ivanti 和 SonicWall 的登入憑證。

當威脅行為者嘗試使用多個使用者名稱和密碼多次登入帳戶或裝置直到找到正確的組合時，就會發生暴力攻擊。一旦他們獲得正確的憑證，他們就可以控制設備或存取網路。

根據威脅監控平台 Shadowserver Foundation 的最新報告，自上個月以來，暴力攻擊一直持續，每天使用近 280 萬個來源 IP 位址進行攻擊。
這些 IP 位址大部分（110 萬個）來自巴西，其次是土耳其、俄羅斯、阿根廷、摩洛哥和墨西哥。但整體來說有很多國家參與了這項活動。

主要目標是邊緣安全設備，例如防火牆、VPN、網關和其他安全組件，它們通常直接連接到互聯網以支援遠端存取。

實施這些攻擊的設備主要是來自MikroTik、華為、思科、Boa和中興的路由器和物聯網設備。這些設備經常受到大規模惡意軟體殭屍網路的攻擊。 Shadowserver 基金會證實，這項活動已經持續了一段時間，但最近突然擴大到更大規模。

ShadowServer 也表示，攻擊 IP 位址分佈在多個網路和自治系統 (AS) 中，很可能是殭屍網路或住宅代理網路相關的操作。

住宅代理商是網路服務供應商 (ISP) 分配給個人客戶的 IP 位址，這使得它們對網路犯罪分子、資料收集、地理限制繞過、廣告驗證、線上交易等具有吸引力。

這些代理商透過住宅網路路由網路流量，使用戶看起來像普通家庭成員，而不是機器人、資料收集者或駭客。

此次行動中針對的網關設備可作為住宅代理操作中的代理出口節點，透過組織的企業網路路由惡意流量。

保護設備免受暴力攻擊的措施

為了保護邊緣設備免受暴力攻擊，應採取以下步驟：

• 將預設管理員密碼更改為強大且唯一的密碼。
• 實施多因素身份驗證 (MFA)。
• 使用受信任 IP 的白名單。
• 如果不需要，請停用 Web 管理介面。

此外，讓您的裝置保持最新的韌體和安全修補程式非常重要，以消除攻擊者可能濫用來獲取初始存取權限的漏洞。