Cisco a ajouté de nouvelles fonctionnalités de sécurité qui atténuent considérablement les attaques par force brute et par pulvérisation de mots de passe sur Cisco ASA et Firepower Threat Defense (FTD), aidant à protéger le réseau contre les violations et à réduire l’utilisation des ressources sur les périphériques.
Les attaques par pulvérisation de mots de passe et par force brute sont similaires en ce sens qu’elles tentent toutes deux d’obtenir un accès non autorisé à un compte en ligne en devinant un mot de passe.
Cependant, les attaques par pulvérisation de mots de passe tenteront d’utiliser simultanément les mêmes mots de passe sur plusieurs comptes pour échapper aux défenses. En revanche, les attaques par force brute ciblent à plusieurs reprises un seul compte avec différentes tentatives de mot de passe.
En avril, Cisco a révélé que des auteurs de menaces menaient des attaques massives par force brute contre des comptes VPN sur divers périphériques réseau, notamment ceux de Cisco, Checkpoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek et Ubiquiti.
Cisco a averti que des attaques réussies pourraient entraîner des accès non autorisés, des verrouillages de compte et des états de déni de service en fonction de l’environnement ciblé.
Ces attaques ont permis à Cisco de découvrir et de corriger une vulnérabilité de déni de service, suivie comme CVE-2024-20481, qui épuisait les ressources sur les périphériques Cisco ASA et FTD lorsqu’ils étaient touchés par ces types d’attaques.
Nouvelles fonctionnalités de protection contre les attaques par force brute VPN
Après avoir été touché par les attaques en avril, Cisco a publié de nouvelles capacités de détection des menaces dans Cisco ASA et Firewall Threat Defense (FTD) qui réduisent considérablement l’impact des attaques par force brute et par pulvérisation de mots de passe.
Bien que ces fonctionnalités soient disponibles pour certaines versions du logiciel depuis juin, elles ne sont devenues disponibles pour toutes les versions que ce mois-ci.
Malheureusement, en parlant à certains administrateurs Cisco, ils n’étaient pas au courant de ces nouvelles fonctionnalités. Cependant, ceux qui l’étaient ont signalé un succès significatif dans l’atténuation des attaques par force brute VPN lorsque les fonctionnalités sont activées.
« Cela a fonctionné si magiquement que les pannes horaires de 500K sont tombées à 170! hier soir!, « un administrateur Cisco a partagé sur Reddit.
Ces nouvelles fonctionnalités font partie du service de détection des menaces et bloquent les types d’attaques suivants:
- Tentatives d’authentification échouées répétées pour accéder aux services VPN à distance (attaques par analyse brute du nom d’utilisateur/mot de passe).
- Attaques d’initiation de client, où l’attaquant démarre mais ne termine pas les tentatives de connexion à une tête de réseau VPN d’accès distant répétées à partir d’un seul hôte.
- Tentatives de connexion à des services VPN d’accès à distance non valides. C’est-à-dire lorsque des attaquants tentent de se connecter à des groupes de tunnels intégrés spécifiques destinés uniquement au fonctionnement interne de l’appareil. Les points de terminaison légitimes ne doivent jamais tenter de se connecter à ces groupes de tunnels.
Cisco a déclaré à Breachtrace que les attaques d’initiation de client sont généralement menées pour consommer des ressources, mettant potentiellement l’appareil dans un état de déni de service.
Pour activer ces nouvelles fonctionnalités, vous devez exécuter une version prise en charge de Cisco ASA et FTD, répertoriées ci-dessous:
Logiciel ASA
- train de version 9.16 – > pris en charge à partir de la version 9.16(4)67 et des versions plus récentes dans ce train spécifique.
- train de version 9.17 – > pris en charge à partir de la version 9.17(1)45 et des versions plus récentes dans ce train spécifique.
- train de version 9.18 – > pris en charge à partir de la version 9.18(4)40 et des versions plus récentes dans ce train spécifique.
- version 9.19 train – > prise en charge à partir de la version 9.19(1).37 et versions plus récentes dans ce train spécifique.
- train de version 9.20 – > pris en charge à partir de la version 9.20(3) et des versions plus récentes dans ce train spécifique.
- train de version 9.22 – > pris en charge à partir de la version 9.22 (1.1) et de toutes les versions plus récentes.
Logiciel FTD
- train de version 7.0 – > pris en charge à partir de la version 7.0.6.3 et des versions plus récentes dans ce train spécifique.
- train de version 7.2 – > pris en charge à partir de la version 7.2.9 et plus récente dans ce train spécifique.
- train de version 7.4 – > pris en charge à partir de la version 7.4.2.1 et plus récente dans ce train spécifique.
- version 7.6 train – > prise en charge à partir de la version 7.6.0 et de toutes les versions plus récentes.
Si vous exécutez une version de logiciel de support, vous pouvez utiliser les commandes suivantes pour activer les nouvelles fonctionnalités.
Pour empêcher les acteurs de la menace de tenter de se connecter à des groupes de tunnels intégrés auxquels ils ne sont généralement pas censés être connectés, vous devez entrer cette commande:
threat-detection service invalid-vpn-access
Pour éviter les tentatives répétées de la même adresse IP pour initier une demande d’authentification au service VPN RA mais ne jamais la terminer, vous utiliseriez cette commande:
threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>
Enfin, pour éviter les demandes d’authentification répétées à partir de la même adresse IP, vous utiliseriez cette commande:
threat-detection service remote-access-authentication hold-down <minutes> threshold <count>
Pour les fonctionnalités d’initialisation de client d’accès à distance et d’authentification d’accès à distance, les variables minutes et count ont les définitions suivantes:
- hold-down définit la période après la dernière tentative d’initiation pendant laquelle les tentatives de connexion consécutives sont comptées. Si le nombre de tentatives de connexion consécutives atteint le seuil configuré au cours de cette période, l’adresse IPv4 de l’attaquant est évitée. Vous pouvez définir cette période entre 1 et 1440 minutes.
- le seuil est le nombre de tentatives de connexion requises au cours de la période d’attente pour déclencher une évitement. Vous pouvez définir le seuil entre 5 et 100.
Si les adresses IP effectuent trop de demandes de connexion ou d’authentification au cours de la période définie, les logiciels Cisco ASA et FTD éviteront ou bloqueront l’adresse IP indéfiniment jusqu’à ce que vous la supprimiez manuellement à l’aide de la commande suivante:
no shun source_ip [ vlan vlan_id]
Un administrateur Cisco ASA a partagé un script qui peut supprimer automatiquement toutes les adresses IP évitées tous les sept jours sur Reddit.
Un exemple d’une configuration complète partagée par Cisco qui active chacune des trois caractéristiques est:
threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20
Lorsque Breachtrace a demandé s’il y avait un inconvénient à utiliser ces fonctionnalités si RAVPN était activé, ils ont répondu qu’il pourrait y avoir un impact potentiel sur les performances.
« Il n’y a pas d’inconvénient attendu, mais le potentiel d’impact sur les performances peut exister lors de l’activation de nouvelles fonctionnalités basées sur la configuration des périphériques existants et la charge de trafic », a déclaré Cisco à Breachtrace .
Dans l’ensemble, si vous êtes ciblé par des acteurs malveillants qui tentent de forcer brutalement vos comptes VPN, il est fortement recommandé d’activer ces fonctionnalités pour atténuer ces attaques, car les informations d’identification VPN compromises sont couramment utilisées pour violer les réseaux pour les attaques de ransomware.