{"id":302723,"date":"2024-09-06T00:01:00","date_gmt":"2024-09-05T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=302723"},"modified":"2024-09-20T18:37:40","modified_gmt":"2024-09-20T16:37:40","slug":"passwort-spraying-angriffe-auf-sophos-firewalls-von-ip-92-53-65-166","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/06\/passwort-spraying-angriffe-auf-sophos-firewalls-von-ip-92-53-65-166\/","title":{"rendered":"Passwort Spraying-Angriffe auf (Sophos-) Firewalls von IP 92.53.65.166"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurze Information f\u00fcr Administratoren von Sophos Firewalls \u2013 ein Leser hat mich darauf hingewiesen, dass er seit dem seit dem 5. September 2024 vermehrt Angriffsversuche auf seine Firewalls von Sophos beobachtet. Und speziell das VPN-Portal wird \u00fcber Port 443 mit Login-Versionen \u00fcbersch\u00fcttet. Die IP, von der die Angriffe erfolgen, weist auf Russland. Es deutet sich an, dass Hacker versuchen, \u00fcber geknackte VPN-Zug\u00e4nge auf Unternehmensnetzwerke zuzugreifen. Hier die Informationen, die mir vorliegen.<\/p>\n

<\/p>\n

\"\"Blog-Leser Michael ist als Administrator in einem Umgebungen aktiv und betreut wohl auch diverse Firewalls von Sophos. In einer pers\u00f6nlichen Nachricht auf Facebook wies er mich darauf hin, dass er mit seinen Kollegen eine massive Welle von Anmeldeversuchen bei den im Unternehmen eingesetzten Firewalls beobachtet. Er schrieb dazu:<\/p>\n

Wir erleben seit heute massive Passwort Spraying-Angriffe auf vielen Firewalls von Sophos, speziell auf das VPN Portal, welches auf Port 443 h\u00f6rt. Scheinbar handelt es sich um Angriffe aus Russland mit der IP 92.53.65.166.<\/p><\/blockquote>\n

Nachfolgender Screenshot (zum Vergr\u00f6\u00dfern anklicken<\/a>) zeigt die Versuche, sich am VPN-Portal mit Nutzername und Passwort anzumelden. Der Log zeigt, dass diese Versuche wegen falscher Anmeldedaten aber scheitern.<\/p>\n

\"<\/a><\/p>\n

Ich habe mal geschaut, die angegebene IP-Adresse 92.53.65.166 wird Russland zugeordnet, wie man nachfolgendem Screenshot entnehmen kann. Passt irgendwie in die aktuelle Bedrohungslage.<\/p>\n

\"Passwort<\/p>\n

Beim Passwort Spraying<\/a> versuchen die Angreifer ein Login mit h\u00e4ufig benutzten Anmeldedaten an mehreren Konten. Ziel der Angreifer ist es, sich \u00fcber einen schlecht gesicherten Zugang mittels dieser Anmeldedaten Zugriff auf das Active Directory zu verschaffen, um von dort das Netzwerk zu infiltrieren.<\/p>\n

In diesem Kontext erinnere ich an den Fall bei Microsoft, bei denen die mutma\u00dflich russische Hackergruppe Midnight Blizzard in die Unternehmensnetzwerke eindringen konnte. Der Fall wurde im Januar 2024 bekannt. Der mutma\u00dflich russischen Hackergruppe Midnight Blizzard gelang es ein Konto auf einem Testsystem durch Password-Spraying-Angriffe zu knacken. \u00dcber dieses Konto gelang es, vom Testsystem auf das interne Mail-System von Microsoft zuzugreifen und seit November 2023 die Mails von F\u00fchrungskr\u00e4ften sowie weiteren Mitarbeitern Microsofts mit zu lesen (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>).<\/p>\n

Wer f\u00fcr die Administration der Firmennetzwerke bzw. die VPN-Portale und Firewalls zust\u00e4ndig ist, sollte vielleicht die Login-Protokolle auf verd\u00e4chtige Aktivit\u00e4ten durchforsten.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Angriffsversuche auf Sophos UTM Firewalls (M\u00e4rz 2024)<\/a>
\nDas Problem mit Passw\u00f6rtern<\/a>
\nMulti-Factor Authentifizierung in Office 365\/G Suite umgangen<\/a>
\nMicrosoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nUngesicherter Microsoft Azure Server legt Passw\u00f6rter etc. von Microsoft-Systemen offen (Feb. 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurze Information f\u00fcr Administratoren von Sophos Firewalls \u2013 ein Leser hat mich darauf hingewiesen, dass er seit dem seit dem 5. September 2024 vermehrt Angriffsversuche auf seine Firewalls von Sophos beobachtet. Und speziell das VPN-Portal wird \u00fcber Port 443 mit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[2712,4338,4328],"class_list":["post-302723","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-firewall","tag-internet","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/302723","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=302723"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/302723\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=302723"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=302723"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=302723"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}