Aviso sobre amenazas de ciberseguridad:

19 de febrero de 2025

Ataque de fuerza bruta dirigido a dispositivos periféricos.

La fundación Shadowserver descubrió un gran ataque de fuerza bruta, en el que aproximadamente 2,8 millones de direcciones IP lanzaron ataques a dispositivos periféricos como firewalls, enrutadores y VPNs.

¿Cuál es la amenaza?

Los ataques de fuerza bruta implican intentar repetidamente todos los nombres de usuario y contraseñas posibles hasta que el atacante encuentre el correcto. Su eficacia depende del método de ataque, los recursos computacionales disponibles y la complejidad de la contraseña. Hay dos tipos principales de ataques de fuerza bruta; ataques simples y ataques de diccionario.

Los ataques simples son menos efectivos y se parecen a los intentos manuales, a menudo sin contexto sobre las cuentas afectadas. La pulverización de contraseñas es un ejemplo de este tipo. Los ataques de diccionario, por otro lado, apuntan a contraseñas más complejas. Los atacantes utilizan software para probar palabras comunes, frases y sustituciones inteligentes de números y caracteres especiales según las tendencias de contraseñas. El robo de credenciales, un ataque de diccionario altamente efectivo, utiliza contraseñas obtenidas de sustracción de datos anteriores.

¿Por qué es digno de mención?

El ataque utiliza servidores proxy residenciales de enrutadores y dispositivos comprometidos, lo que dificulta la identificación de direcciones IP maliciosas con métodos tradicionales. Dato que la mayoría de estas conexiones provienen de proveedores de servicios de internet legítimos, la mayoria no se denuncia. El ato volumen de direcciones IP sugiere que la actividad esta impulsada por botnets, lo que indica que hay abundantes recursos. Si bien el motivo del ataque sigue sin esta claro, los empleados deben permanecer alerta, ya que pueden allanar el camino para futuras campañas de phishing y spam.

¿Cuál es el riesgo?

El ataque se dirige a las cuentas VPN y a las páginas de inicio de sesión de los firewalls y enrutadores. Para la autenticación con LDAP/LDAPS a VPN, es mejor tener una unidad de organización VPN independiente y asegurarse de que solo los usuarios activos sean miembros.

Asegúrese de que el código de firmware vulnerable, como el cliente SonicWall SMA (CVE-2024-53705), SonicOS hasta las versiones 7.1.1-7058, 7.1.2-2019, 8.0.0-8035, Ivanti CSA version 5.0.5 o anterior, y PANOS 11.2, 11.1, 11.0, 10.2, 10.2 (CVE-2025-0109, CVE-2025-0110) esten actualizados a las versiones recomendadas para evitar la explotación.

Recomendaciones

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

Utilice contraseñas largas, complejas y únicas, y guardelas en un administrador de contraseñas de confianza.
Desactive las cuentas que no utilicen en Active Directory. Esto limita en gran medida la superficie de ataque y reducirá la cantidad de alertas a solo las cuentas en uso, lo que proporciona un panorama mas claro para la investigación.
Mantenga un programa de actualización constante para firewalls, enrutadores y software VPN.
Supervise regularmente los dispositivos periféricos. Plantee inquietudes si algo no parece correcto. Si su cuenta se bloquea constantemente, podría indicar que se está produciendo un ataque.