Брутфорс не пройдет: Cisco укрепляет защиту VPN от массовых атак

Cisco добавила новые функции безопасности для устройств ASA и Firepower Threat Defense (FTD), направленные на защиту от брутфорс-атак и атак типа Password Spraying.

Атаки типа Password Spraying направлены на попытку одновременного использования одного пароля для разных учетных записей, чтобы избежать обнаружения, тогда как традиционные атаки перебором нацелены на подбор различных паролей к одной учетной записи.

В марте Cisco сообщила, что злоумышленники массово атаковали VPN-аккаунты с помощью подобного метода на сетевых устройствах различных производителей, включая Cisco, Checkpoint, Fortinet и другие. Успешные атаки могут привести к несанкционированному доступу, блокировке учетных записей и перегрузке ресурсов, что, в конечном итоге, вызывает отказ в обслуживании (Denial of Service, DoS).

Именно эта волна атак помогла Cisco обнаружить уязвимость в безопасности своих устройств, которая привела к сбою в работе при массовом подбое паролей. Данная уязвимость была обозначена как CVE-2024-20481 (оценка CVSS: 5.8) и уже устранена, обеспечив повышенную устойчивость ASA и FTD к атакам.

С июня Cisco начала внедрять новые функции обнаружения угроз на устройствах ASA и FTD , а полная доступность обновлений для всех версий была обеспечена в октябре. Опции блокируют повторяющиеся неудачные попытки аутентификации, неоднократные подключения с одного хоста, которые не завершаются, а также попытки доступа к определенным встроенным группам туннелей, предназначенным исключительно для внутренних процессов. Подобные действия хакеров могут потреблять ресурсы устройства, что также может вызвать отказ в обслуживании.

Для активации новых функций защиты требуется использовать поддерживаемые версии программного обеспечения ASA и FTD. Пример конфигурации включает следующие команды:

• threat-detection service invalid-vpn-access – предотвращает попытки подключений к встроенным группам туннелей.
• threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count> – блокирует повторные попытки аутентификации с одного IP, которые остаются незавершенными.
• threat-detection service remote-access-authentication hold-down <minutes> threshold <count> – предотвращает многократные попытки авторизации с одного IP-адреса.

При превышении пороговых значений в указанный период программное обеспечение Cisco блокирует адрес злоумышленника, предотвращая дальнейшие попытки вторжения. Также Cisco предоставила информацию, что чрезмерное использование новых функций может повлиять на производительность устройства, в зависимости от его текущей конфигурации и нагрузки.

Cisco рекомендует активировать новые функции защиты от атак методом подбора пароля, так как компрометация VPN-учетных записей часто используется для проникновения в корпоративные сети и распространения вредоносного ПО, такого как программы-вымогатели.