Злоумышленники атакуют компании через Cisco WebVPN

По данным специалистов ИБ-компании Volexity, злоумышленники используют решение Cisco Clientless SSL VPN (WebVPN) для хищения важных учетных данных и компрометации корпоративных систем различных организаций.

Cisco WebVPN позволяет организовать удаленный доступ к сетям. Для наладки безопасного соединения, WebVPN использует Secure Socket Layer Protocol и Transport Layer Security (SSL/TLS1). Через корпоративный web-портал пользователи могут получить доступ к внутренним документам и ресурсам компании.

Как сообщают специалисты, атаки злоумышленников направлены на страницу авторизации клиентов WebVPN с целью компрометации важных учетных данных пользователей. Атаки осуществляются несколькими методами. Один из них предполагает эксплуатацию уязвимости (CVE-2014-3393), позволяющей обойти механизм аутентификации. Брешь существует из-за ошибки в механизме авторизации фреймворка Clientless SSL VPN.

В атаках, зафиксированных экспертами Volexity, злоумышленники внедряли вредоносный код JavaScript в страницу авторизации целевой компании. В свою очередь, код вызывал удаленный скрипт, предназначенный для хищения данных из формы регистрации. В рамках одной из кампаний атакующие размещали скрипт на взломанном сайте одной из неправительственных организаций. Список жертв включает медицинские компании, специализированные научно-исследовательские институты, неправительственные организации, университеты и академии, а также производителей электроники.

Согласно пояснению эксперта Volexity Стивена Эдэра (Steven Adair), злоумышленники получали «законный» доступ в корпоративные системы путем использования кейлоггеров, хищения учетных данных, эксфильтрации документов, содержащих списки паролей, а также идентифицируя наиболее популярные пароли. Получив доступ к сети, атакующий обычно мог производить те же действия, что и администратор или высоко привелигированный пользователь. В основном вредоносная кампания носила разведывательный характер, отмечает специалист.

internetua.com