Брутфорс не пройдет: Cisco укрепляет защиту VPN от массовых атак

Cisco добавила новые функции безопасности для устройств ASA и Firepower Threat Defense (FTD), направленные на защиту от брутфорс -атак и атак типа Password Spraying .

Атаки типа Password Spraying направлены на попытку одновременного использования одного пароля для разных учетных записей, чтобы избежать обнаружения, тогда как традиционные атаки перебором нацелены на подбор различных паролей к одной учетной записи.

В марте Cisco сообщила, что злоумышленники массово атаковали VPN-аккаунты с помощью подобного метода на сетевых устройствах различных производителей, включая Cisco, Checkpoint, Fortinet и другие. Успешные атаки могут привести к несанкционированному доступу, блокировке учетных записей и перегрузке ресурсов, что, в конечном итоге, вызывает отказ в обслуживании (Denial of Service, DoS ).

Именно эта волна атак помогла Cisco обнаружить уязвимость в безопасности своих устройств, которая привела к сбою в работе при массовом подбое паролей. Данная уязвимость была обозначена как CVE-2024-20481 (оценка CVSS: 5.8) и уже устранена, обеспечив повышенную устойчивость ASA и FTD к атакам.

С июня Cisco начала внедрять новые функции обнаружения угроз на устройствах ASA и FTD , а полная доступность обновлений для всех версий была обеспечена в октябре. Опции блокируют повторяющиеся неудачные попытки аутентификации, неоднократные подключения с одного хоста, которые не завершаются, а также попытки доступа к определенным встроенным группам туннелей, предназначенным исключительно для внутренних процессов. Подобные действия хакеров могут потреблять ресурсы устройства, что также может вызвать отказ в обслуживании.

Для активации новых функций защиты требуется использовать поддерживаемые версии программного обеспечения ASA и FTD. Пример конфигурации включает следующие команды:

• threat-detection service invalid- vpn -access – предотвращает попытки подключений к встроенным группам туннелей.
• threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count> – блокирует повторные попытки аутентификации с одного IP, которые остаются незавершенными.
• threat-detection service remote-access-authentication hold-down <minutes> threshold <count> – предотвращает многократные попытки авторизации с одного IP-адреса.

При превышении пороговых значений в указанный период программное обеспечение Cisco блокирует адрес злоумышленника, предотвращая дальнейшие попытки вторжения. Также Cisco предоставила информацию, что чрезмерное использование новых функций может повлиять на производительность устройства, в зависимости от его текущей конфигурации и нагрузки.

Cisco рекомендует активировать новые функции защиты от атак методом подбора пароля, так как компрометация VPN-учетных записей часто используется для проникновения в корпоративные сети и распространения вредоносного ПО, такого как программы-вымогатели.