Cisco waarschuwt organisaties voor password spraying-aanvallen op vpn-diensten, wat ervoor kan zorgen dat personeel niet meer kan inloggen. Securitybedrijven Arctic Wolf en High Wire Networks meldden eerder deze maand dat er sinds eind februari een toename is van password spraying gericht tegen firewalls en vpn-servers van Cisco, Palo Alto Networks en WatchGuard. Een security-engineer genaamd Aaron Martin meldde soortgelijke aanvallen tegen apparatuur van Fortinet, Palo Alto Networks, Sonicwall en Cisco. De aanvallen zijn volgens Martin het werk van een botnet.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.

Cisco is nu met een document gekomen waarin het maatregelen adviseert waarmee organisaties zich tegen dergelijke aanvallen kunnen wapenen, alsmede wat de gevolgen van de aanvallen kunnen zijn. Zo kan password spraying ervoor zorgen dat het eigen personeel niet meer op de vpn-server kan inloggen omdat er een lockout van hun account heeft plaatsgevonden. Cisco benadrukt dat de aanvallen niet beperkt zijn tot Cisco-apparatuur. Verder wordt het inschakelen van logging aangeraden en het gebruik certificaat-gebaseerde authenticatie.