Cisco ha agregado nuevas funciones de seguridad que mitigan significativamente los ataques de fuerza bruta y de distribución de contraseñas en Cisco ASA y Firepower Threat Defense (FTD), lo que ayuda a proteger la red contra infracciones y reducir el uso de recursos en los dispositivos.
La pulverización de contraseñas y los ataques de fuerza bruta son similares en el sentido de que ambos intentan obtener acceso no autorizado a una cuenta en línea adivinando una contraseña.
Sin embargo, los ataques de pulverización de contraseñas intentarán utilizar las mismas contraseñas en varias cuentas simultáneamente para evadir las defensas. Por el contrario, los ataques de fuerza bruta se dirigen repetidamente a una sola cuenta con diferentes intentos de contraseña.
En abril, Cisco reveló que los delincuentes estaban llevando a cabo ataques masivos de fuerza bruta contra cuentas VPN en varios dispositivos de red, incluidos los de Cisco, Checkpoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek y Ubiquiti.
Cisco advirtió que los ataques exitosos podrían resultar en acceso no autorizado, bloqueos de cuentas y estados de denegación de servicio dependiendo del entorno objetivo.
Estos ataques permitieron a Cisco descubrir y corregir una vulnerabilidad de denegación de servicio, identificada como CVE-2024-20481, que estaba agotando los recursos en los dispositivos Cisco ASA y FTD cuando encontraron este tipo de ataques.
Nuevas funciones de protección contra ataques de fuerza bruta de VPN
Después de sufrir los ataques de abril, Cisco lanzó nuevas capacidades de detección de amenazas En CiscoASA Y Defensa contra amenazas de firewall (FTD) que reducen significativamente el impacto de los ataques de fuerza bruta y de pulverización de contraseñas.
Aunque estas funciones han estado disponibles para algunas versiones del software desde junio, solo estuvieron disponibles para todas las versiones este mes.
Desafortunadamente, cuando hablaron con algunos administradores de Cisco, no conocían estas nuevas funciones. Sin embargo, aquellos que informaron un éxito significativo en la mitigación de ataques de fuerza bruta de VPN cuando las funciones están habilitadas.
“¡Funcionó tan mágicamente que las 500.000 interrupciones por hora se redujeron a 170 anoche!”, compartió un administrador de Cisco. Reddit.
Estas nuevas funciones forman parte del servicio ThreatDetection y bloquean los siguientes tipos de ataques:
- Los intentos de autenticación fallaron repetidamente para acceder remotamente a servicios VPN (ataques de fuerza bruta de escaneo de nombre de usuario/contraseña).
- Ataques de iniciación de clientesdonde el atacante inicia pero no completa los intentos de conectarse a una cabecera VPN de acceso remoto varias veces desde un solo host.
- Intentos no válidos de conectarse a servicios VPN de acceso remoto. Es decir, cuando los atacantes intentan conectarse a grupos de túneles integrados específicos destinados únicamente al funcionamiento interno del dispositivo. Los puntos finales legítimos nunca deben intentar conectarse a estos grupos de túneles.
Cisco le dijo a BleepingComputer que los ataques de iniciación del cliente generalmente se llevan a cabo para consumir recursos, lo que potencialmente coloca al dispositivo en un estado de denegación de servicio.
Para habilitar estas nuevas funciones, debe ejecutar una versión compatible de Cisco ASA y FTD, que se enumeran a continuación:
Software ASA:
- Tren versión 9.16 -> apoyado desde 9.16(4)67 y versiones más nuevas dentro de ese tren específico.
- Tren versión 9.17 -> apoyado desde 9.17(1)45 y versiones más nuevas dentro de ese tren específico.
- Tren versión 9.18 -> apoyado desde 9.18(4)40 y versiones más nuevas dentro de ese tren específico.
- Tren versión 9.19 -> apoyado desde 9.19(1).37 y versiones más nuevas dentro de ese tren específico.
- Tren versión 9.20 -> apoyado desde 9.20(3) y versiones más nuevas dentro de ese tren específico.
- Tren versión 9.22 -> apoyado desde 9.22(1.1) y todas las versiones más nuevas.
Software FTD:
- Tren versión 7.0 -> apoyado desde 7.0.6.3 y versiones más nuevas dentro de ese tren específico.
- Tren versión 7.2 -> apoyado desde 7.2.9 y una versión más nueva en este tren específico.
- Tren versión 7.4 -> apoyado desde 7.4.2.1 y una versión más nueva en este tren específico.
- Tren versión 7.6 -> apoyado desde 7.6.0 y todas las versiones más nuevas.
Si está ejecutando una versión de software de soporte, puede utilizar los siguientes comandos para habilitar nuevas funciones.
Para evitar que los delincuentes intenten conectarse a grupos de túneles integrados a los que normalmente no deberían estar conectados, debe ingresar este comando:
threat-detection service invalid-vpn-access
Para evitar intentos repetidos desde la misma dirección IP de iniciar una solicitud de autenticación al servicio RAVPN sin completarla, debe usar este comando:
threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>
Finalmente, para evitar repetidas solicitudes de autenticación desde la misma dirección IP, utilizará este comando:
threat-detection service remote-access-authentication hold-down <minutes> threshold <count>
tanto para el iniciaciones-de-cliente-de-acceso-remoto Y autenticación de acceso remoto características, las variables minutos y conteo tienen las siguientes definiciones:
- mantenimiento define el período después del último intento de inicio durante el cual se cuentan los intentos de inicio de sesión consecutivos. Si el número de intentos de inicio de sesión consecutivos alcanza el umbral configurado durante este período, se evita la dirección IPv4 del atacante. Puede establecer este período entre 1 y 1440 minutos.
- límite es el número de intentos de inicio de sesión necesarios durante el período de retención para activar la evitación. Puede establecer el umbral entre 5 y 100.
Si las direcciones IP realizan demasiadas solicitudes de conexión o autenticación dentro del período establecido, el software Cisco ASA y FTD lo harán. evitaro bloquear la dirección IP indefinidamente hasta que la elimine manualmente usando el siguiente comando:
no shun source_ip [ vlan vlan_id]
Un administrador de Cisco ASA compartió un script que puede eliminar automáticamente todas las direcciones IP evitadas cada siete días. Reddit.
A continuación se muestra un ejemplo de configuración completo compartido por Cisco que habilita las tres funciones:
threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20
Un administrador de Reddit señaló además que las protecciones de inicio del cliente causaron falsos positivos en su entorno, pero funcionaron mejor después de volver a los valores predeterminados. espera 10 Y umbral 20.
Cuando BleepingComputer preguntó si había alguna desventaja en el uso de estas funciones si RAVPN estaba habilitado, dijeron que podría haber un impacto potencial en el rendimiento.
“No se espera ningún ‘desventaja’, pero puede existir un impacto potencial en el rendimiento al habilitar nuevas funciones basadas en la configuración del dispositivo existente y la carga de tráfico”, dijo Cisco a BleepingComputer.
En general, si está siendo atacado por delincuentes que intentan forzar sus cuentas VPN con fuerza bruta, se recomienda encarecidamente que habilite estas funciones para mitigar estos ataques, ya que las credenciales de VPN comprometidas se utilizan comúnmente para violar las redes durante los ataques de ransomware.