In diesem Dokument werden Empfehlungen für die Abwehr von Passwort-Spray-Angriffen auf Remote Access-VPN-Services in Secure Firewall beschrieben.
Passwort-Spray-Angriffe sind eine Art Brute-Force-Angriff, bei dem ein Angreifer versucht, sich unbefugten Zugriff auf mehrere Benutzerkonten zu verschaffen, indem er systematisch einige häufig verwendete Passwörter für mehrere Konten verwendet. Erfolgreiche Passwort-Spray-Angriffe können zu unbefugtem Zugriff auf vertrauliche Informationen, Datenverletzungen und potenziellen Beeinträchtigungen der Netzwerkintegrität führen
Darüber hinaus können diese Angriffe selbst dann, wenn sie nicht erfolgreich sind, Rechenressourcen der sicheren Firewall nutzen und verhindern, dass gültige Benutzer eine Verbindung zu den Remotezugriffs-VPN-Diensten herstellen.
Wenn Ihre sichere Firewall Ziel von Passwort-Spray-Angriffen in VPN-Diensten für den Remote-Zugriff ist, können Sie diese Angriffe durch die Überwachung von Syslogs und die Ausführung bestimmter show-Befehle identifizieren. Zu den gängigsten Verhaltensweisen gehören:
Das VPN-Headend Cisco Secure Firewall ASA oder FTD zeigt Symptome von Passwort-Spray-Angriffen mit einer ungewöhnlichen Anzahl von abgelehnten Authentifizierungsversuchen.
Die beste Methode, dies zu erkennen, ist der Blick auf das Syslog. Achten Sie auf eine ungewöhnliche Anzahl der nächsten ASA-Syslog-IDs:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
Der Benutzername wird immer ausgeblendet, bis der Befehl no logging hide username auf der ASA konfiguriert ist.
Melden Sie sich zur Überprüfung bei der ASA- oder FTD-Befehlszeilenschnittstelle (Command Line Interface, CLI) an, und führen Sie den Befehl show aaa-server aus. Prüfen Sie, ob eine ungewöhnliche Anzahl von Authentifizierungsanforderungen an einen der konfigurierten AAA-Server versucht und abgelehnt wurde:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
Berücksichtigen und wenden Sie die folgenden Empfehlungen an:
Protokollierung ist ein wichtiger Bestandteil der Cybersicherheit, bei dem Ereignisse innerhalb eines Systems aufgezeichnet werden. Das Fehlen detaillierter Protokolle hinterlässt Lücken im Verständnis und verhindert eine klare Analyse der Angriffsmethode. Es wird empfohlen, die Protokollierung an einem Remote-Syslog-Server zu aktivieren, um die Korrelation und Überprüfung von Netzwerk- und Sicherheitsvorfällen auf verschiedenen Netzwerkgeräten zu verbessern.
Weitere Informationen zur Konfiguration der Protokollierung finden Sie in den folgenden plattformspezifischen Leitfäden:
Cisco ASA Software:
Cisco FTD-Software:
Sie können die folgenden Konfigurationsoptionen überprüfen und anwenden, um die Auswirkungen dieser Brute-Force-Angriffe auf Ihre RAVPN-Verbindungen zu minimieren und die Wahrscheinlichkeit dafür zu verringern:
Funktionen zur Erkennung von Bedrohungen für VPN-Dienste mit Remote-Zugriff tragen dazu bei, DoS-Angriffe (Denial of Service) von IPv4-Adressen zu verhindern, indem der Host (die IP-Adresse), der die konfigurierten Schwellenwerte überschreitet, automatisch blockiert wird, um weitere Versuche zu verhindern, bis Sie die Verknüpfung der IP-Adresse manuell entfernen. Für diese Arten von Angriffen stehen separate Services zur Verfügung:
Diese Funktionen zur Erkennung von Sicherheitsrisiken werden derzeit von den nachfolgend aufgeführten Versionen der Cisco Secure Firewall unterstützt:
ASA-Software:
FTD-Software:
Ausführliche Informationen und Unterstützung bei der Konfiguration finden Sie in den folgenden Dokumentationsanleitungen:
Wenn die Funktionen zur Erkennung von Bedrohungen für VPN-Dienste mit Remote-Zugriff in der Version der sicheren Firewall nicht unterstützt werden, implementieren Sie Sicherungsmaßnahmen, um das Risiko der Auswirkungen dieser Angriffe zu verringern:
Weitere Informationen finden Sie im Handbuch Implement Hardening Measures for Secure Client AnyConnect VPN Guide.
Benutzer können feststellen, dass keine VPN-Verbindungen mit dem Cisco Secure Client (AnyConnect) hergestellt werden können, wenn auf der sicheren Firewall der Firewall-Status (HostScan) aktiviert ist. Es kann gelegentlich eine Fehlermeldung auftreten, die besagt: "Verbindung kann nicht hergestellt werden. Cisco Secure Desktop ist nicht auf dem Client installiert."

Dieses Verhalten ist eine Folge der erfolgreichen Ausnutzung der nachfolgend beschriebenen Schwachstelle CVE-2024-20481.
Diese Verwundbarkeit rührt aus der Erschöpfung der Ressourcen aufgrund von Passwort-Spray-Angriffen her, bei denen Angreifer zahlreiche VPN-Authentifizierungsanforderungen an das Zielgerät senden. Ein erfolgreicher Angriff kann zu einem Denial of Service für den RAVPN-Dienst führen. Ein Schlüsselsymptom dieses Exploits ist, dass Benutzer unregelmäßig auf die Meldung "Die Verbindung kann nicht abgeschlossen werden" stoßen. Cisco Secure Desktop ist nicht auf dem Client installiert." Fehlermeldung, wenn versucht wird, eine RAVPN-Verbindung über den Cisco Secure Client herzustellen.
Um diese Schwachstelle zu beheben, muss ein Upgrade auf die im Sicherheitsgutachten aufgeführten Softwareversionen durchgeführt werden. Darüber hinaus wird empfohlen, die Funktionen zur Erkennung von Sicherheitsrisiken für das Remote Access-VPN zu aktivieren, nachdem die Secure Firewall auf diese Versionen aktualisiert wurde, um Schutz vor DoS-Angriffen auf RAVPN-Services zu bieten.
Ausführliche Informationen finden Sie in der Sicherheitsempfehlung für Cisco ASA und FTD Software Remote Access VPN Brute Force Denial of Service Vulnerability.
Weitere Unterstützung erhalten Sie beim Cisco TAC. Ein gültiger Supportvertrag ist erforderlich: Weltweiter Kontakt zum Cisco Support.
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
8.0 |
01-Jul-2026
|
Aktualisierter Titel, Einführung, Rechtschreibung, Abstand, Alternativtext, CCW-Warnmeldungen und URLs. |
7.0 |
26-Oct-2024
|
Aktualisiert den Abschnitt "Verwandte Verhaltensweisen", um eine neue Schwachstelle im Zusammenhang mit diesem Dokument hinzuzufügen. |
6.0 |
20-Sep-2024
|
Die unterstützten Versionen der Funktionen zur Erkennung von Sicherheitsrisiken für das Remote Access-VPN wurden aktualisiert. |
5.0 |
06-Sep-2024
|
Empfehlung "Konfigurieren Sie die Erkennung von Sicherheitsrisiken für Remote Access VPN" hinzugefügt. |
4.0 |
22-Apr-2024
|
Aktualisierung der Abschnitte "Hintergrundinformationen" und "Empfehlungen". |
3.0 |
15-Apr-2024
|
Linked Cisco Bug-ID CSCwj45822, hat den Unterabschnitt "Hostscan Token Exhaustion" und den Abschnitt "Additional Hardening Implementations for RAVPN" hinzugefügt |
2.0 |
01-Apr-2024
|
Dokumenttitel aktualisiert, Abschnitt "IoCs" in "Beobachtete ungewöhnliche Muster" umbenannt und unter "Empfehlungen" weitere Details hinzugefügt. |
1.0 |
26-Mar-2024
|
Erstveröffentlichung |