目前，一場(chǎng)大規(guī)模的暴力破解密碼攻擊正在進(jìn)行中，攻擊者利用近280萬(wàn)個(gè)IP地址，試圖破解包括Palo Alto Networks、Ivanti和SonicWall在內(nèi)的多種網(wǎng)絡(luò)設(shè)備的登錄憑證。

什么是暴力破解攻擊？

暴力破解攻擊是指威脅行為者反復(fù)嘗試大量使用用戶(hù)名和密碼組合登錄賬戶(hù)或設(shè)備，直到找到正確的組合。一旦他們獲得了正確的憑證，就可以利用這些憑證劫持設(shè)備或入侵網(wǎng)絡(luò)。

根據(jù)威脅監(jiān)控平臺(tái)The Shadowserver Foundation的報(bào)告，自去年以來(lái)，這種暴力破解攻擊一直在持續(xù)，每天有近280萬(wàn)個(gè)源IP地址參與其中。其中，大部分IP地址（110萬(wàn)個(gè)）來(lái)自巴西，其次是土耳其、俄羅斯、阿根廷、摩洛哥和墨西哥，涉及眾多國(guó)家。

攻擊目標(biāo)與手段

這些攻擊主要針對(duì)邊緣安全設(shè)備， 比如防火墻、VPN、網(wǎng)關(guān)和其他安全設(shè)備，這些設(shè)備通常暴露在互聯(lián)網(wǎng)上，以便于遠(yuǎn)程訪問(wèn)。而發(fā)動(dòng)攻擊的設(shè)備大多是MikroTik、華為、思科、Boa和中興的路由器和物聯(lián)網(wǎng)設(shè)備，這些設(shè)備通常被大型惡意軟件僵尸網(wǎng)絡(luò)攻陷。

Shadowserver Foundation在聲明中確認(rèn)，這種活動(dòng)已經(jīng)持續(xù)了一段時(shí)間，近期規(guī)模發(fā)生了顯著擴(kuò)大。他們還表示，攻擊IP地址分布在許多網(wǎng)絡(luò)和自治系統(tǒng)中，很可能是僵尸網(wǎng)絡(luò)或與住宅代理網(wǎng)絡(luò)相關(guān)的操作。

住宅代理的濫用

住宅代理是互聯(lián)網(wǎng)服務(wù)提供商（ISP）分配給家庭用戶(hù)的IP地址，因其能夠偽裝成普通家庭用戶(hù)流量，常被用于網(wǎng)絡(luò)犯罪、數(shù)據(jù)抓取、繞過(guò)地理限制、廣告驗(yàn)證、搶購(gòu)鞋票等非法活動(dòng)。這些代理通過(guò)住宅網(wǎng)絡(luò)路由流量，使攻擊行為更難被檢測(cè)。

此次被攻擊的網(wǎng)關(guān)設(shè)備可能被用作住宅代理操作中的出口節(jié)點(diǎn)，通過(guò)企業(yè)網(wǎng)絡(luò)路由惡意流量。由于這些企業(yè)網(wǎng)絡(luò)通常信譽(yù)良好，因此攻擊行為更隱蔽，更難被發(fā)現(xiàn)和阻止。

如何保護(hù)邊緣設(shè)備？

為了保護(hù)邊緣設(shè)備免受暴力破解攻擊，建議采取以下措施：更改默認(rèn)管理員密碼為強(qiáng)且獨(dú)特的密碼；啟用多因素認(rèn)證（MFA）；僅允許可信IP地址訪問(wèn)；如無(wú)必要，禁用Web管理界面。此外，及時(shí)更新設(shè)備的最新固件和安全補(bǔ)丁，修復(fù)漏洞，是防止攻擊者入侵的關(guān)鍵。

去年4月，思科曾警告稱(chēng)，全球范圍內(nèi)針對(duì)思科、CheckPoint、Fortinet、SonicWall和Ubiquiti設(shè)備的大規(guī)模暴力破解活動(dòng)正在展開(kāi)。同年12月，Citrix也發(fā)出警告，稱(chēng)全球范圍內(nèi)的Citrix Netscaler設(shè)備正遭受密碼噴射攻擊。