Злоумышленники атакуют компании через Cisco WebVPN

  • Автор темы Eva
  • Дата начала

Eva

Местный
Регистрация
3/4/15
Сообщения
866
Репутация
0
Реакции
1.778
RUB
0
В ходе атак злоумышленники внедряют код JavaScript в страницу авторизации и похищают учетные данные.
7cbc2176f45b87265d663f41875350ad.jpg

По данным специалистов ИБ-компании Volexity, злоумышленники используют решение Cisco Clientless SSL VPN (WebVPN) для хищения важных учетных данных и компрометации корпоративных систем различных организаций. Cisco WebVPN позволяет организовать удаленный доступ к сетям. Для наладки безопасного соединения, WebVPN использует Secure Socket Layer Protocol и Transport Layer Security (SSL/TLS1). Через корпоративный web-портал пользователи могут получить доступ к внутренним документам и ресурсам компании.

Как сообщают специалисты, атаки злоумышленников направлены на страницу авторизации клиентов WebVPN с целью компрометации важных учетных данных пользователей. Атаки осуществляются несколькими методами. Один из них предполагает эксплуатацию уязвимости ( ), позволяющей обойти механизм аутентификации. Брешь существует из-за ошибки в механизме авторизации фреймворка Clientless SSL VPN.

В атаках, зафиксированных экспертами Volexity, злоумышленники внедряли вредоносный код JavaScript в страницу авторизации целевой компании. В свою очередь, код вызывал удаленный скрипт, предназначенный для хищения данных из формы регистрации. В рамках одной из кампаний атакующие размещали скрипт на взломанном сайте одной из неправительственных организаций. Список жертв включает медицинские компании, специализированные научно-исследовательские институты, неправительственные организации, университеты и академии, а также производителей электроники.

Согласно пояснению эксперта Volexity Стивена Эдэра (Steven Adair), злоумышленники получали «законный» доступ в корпоративные системы путем использования кейлоггеров, хищения учетных данных, эксфильтрации документов, содержащих списки паролей, а также идентифицируя наиболее популярные пароли. Получив доступ к сети, атакующий обычно мог производить те же действия, что и администратор или высоко привелигированный пользователь. В основном вредоносная кампания носила разведывательный характер, отмечает специалист.
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
В атаках с целью захватить данные скоро будут атаковать через калькуляторы уже, каждая вторая новость об утечке инфы)
 
  • Нравится
Реакции: Eva
Сверху Снизу