Une attaque massive par brute force cible les firewalls et les VPN grâce à 2,8 millions d’adresses IP
Depuis plusieurs semaines, une attaque brute force de grande ampleur est en cours, dans le but de compromettre des appareils réseau dans le monde entier. Près de 2,8 millions d'adresses IP sont utilisées chaque jour pour tenter de compromettre de nouveaux équipements ! Faisons le point.
Pour rappel : une attaque par force brute est une technique de piratage qui consiste à tester un ensemble de combinaisons possibles d’identifiants (nom d’utilisateur et mot de passe) jusqu’à trouver la bonne.
Sommaire
Une attaque d'envergure mondiale
D'après The Shadowserver Foundation, cette campagne malveillante est récente puisqu'elle a commencé le mois dernier. La vague d'attaques continue de s'intensifier d'après les experts de The Shadowserver, qui estiment qu'elle a récemment pris une ampleur bien plus importante.
Au total, chaque jour, ce sont pas moins de 2,8 millions d'adresses IP qui sont utilisées pour tenter de compromettre de nouveaux équipements. Les adresses IP impliquées dans ces attaques proviennent de nombreux pays, avec une forte concentration au Brésil (1,1 million d'IP), en Turquie, en Russie, en Argentine, au Maroc et au Mexique.
Large increase in web login brute forcing attacks against edge devices seen last few weeks in our honeypots, with up to 2.8M IPs per day seen with attempts (especially Palo Alto Networks, Ivanti, SonicWall etc). Over 1M from Brazil. Source IPs shared in https://t.co/kapIq2pIBI pic.twitter.com/LMhFEvAEEL
— The Shadowserver Foundation (@Shadowserver) February 7, 2025
Ces tentatives de connexion ciblent les appareils exposés à Internet, que ce soit des firewalls, des passerelles VPN et d'autres équipements réseau. Différentes marques sont ciblées, notamment Palo Alto Networks, Ivanti et SonicWall. Si les cybercriminels parviennent à obtenir un accès sur un équipement, ils peuvent en prendre le contrôle ou pénétrer le réseau de l'organisation.
Quant aux appareils utilisés pour effectuer ces attaques, il s'agit majoritairement de routeurs et d'objets connectés (IoT) de marques telles que MikroTik, Huawei, Cisco, Boa et ZTE. Généralement, ces appareils compromis sont intégrés à un botnet, ce qui permet aux cybercriminels de les exploiter à grande échelle pour mener d'autres attaques.
Un réseau de proxys résidentiels difficile à détecter
L'analyse de The Shadowserver révèle que les adresses IP utilisées pour ces attaques sont réparties sur de nombreux réseaux et systèmes autonomes, ce qui laisse penser à l'implication d'un botnet ou d'un réseau de proxys résidentiels.
Ces proxys, attribués aux clients des fournisseurs d'accès Internet, sont très prisés par les cybercriminels pour diverses activités illicites : cyberattaques, contournement des restrictions géographiques, scraping de données, etc... En effet, en utilisant ces appareils comme nœuds de sortie, leurs opérations malveillantes se fondent dans le trafic légitime au niveau du réseau, compliquant ainsi leur détection. Autrement dit, il est plus facile de se faire passer pour un utilisateur final, et ainsi ne pas passer pour un bot ou un pirate.
Comment se protéger ?
Pour limiter les risques de compromission par une attaque brute force, vous pouvez appliquer ces règles de sécurité élémentaires :
- Utilisation d'un mot de passe robuste : le mot de passe par défaut sera forcément testé par les attaquants.
- Activation de l'authentification multifacteur (MFA) à chaque fois que c'est possible.
- Restriction des accès via une liste blanche d'adresses IP de confiance.
- Désactivation de l'accès à l'interface d'administration web depuis Internet.
- Mise à jour régulière des firmwares et correctifs pour se protéger des vulnérabilités connues.
Ces attaques automatisées sont basiques, mais permettent aux cybercriminels de compromettre de nouveaux appareils assez facilement. Le respect des bonnes pratiques de sécurité permet de se protéger.
