Este documento describe las recomendaciones a considerar contra los ataques de aspersión de contraseña dirigidos a los servicios VPN de acceso remoto en Secure Firewall.
Los ataques mediante pulverización de contraseñas son un tipo de ataque de fuerza bruta en el que un atacante intenta obtener acceso no autorizado a varias cuentas de usuario mediante el uso sistemático de algunas contraseñas de uso común en muchas cuentas. Los ataques con pulverización de contraseñas pueden provocar un acceso no autorizado a información confidencial, violaciones de datos y posibles riesgos para la integridad de la red
Además, estos ataques, incluso cuando no consiguen obtener acceso, pueden consumir recursos informáticos del firewall seguro e impedir que los usuarios válidos se conecten a los servicios VPN de acceso remoto.
Cuando el firewall seguro es objetivo de ataques de pulverización de contraseña en los servicios VPN de acceso remoto, puede identificar estos ataques supervisando los registros del sistema y ejecutando comandos show específicos. Los comportamientos más comunes que se deben buscar incluyen:
El Cisco Secure Firewall ASA o FTD de cabecera de VPN muestra síntomas de ataques de pulverización de contraseñas con una tasa inusual de intentos de autenticación rechazados.
La mejor manera de detectar esto es mirando el syslog. Busque un número inusual de cualquiera de los siguientes ID de syslog de ASA:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
El nombre de usuario siempre está oculto hasta que se configura el comando no logging hide username en el ASA.
Para verificarlo, inicie sesión en la interfaz de línea de comandos (CLI) de ASA o FTD y ejecute el comando show aaa-server. Investigue un número inusual de solicitudes de autenticación intentadas y rechazadas a cualquiera de los servidores AAA configurados:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
Considerar y aplicar las recomendaciones descritas:
El registro es una parte crucial de la ciberseguridad que implica registrar los eventos que se producen dentro de un sistema. La ausencia de registros detallados deja lagunas en la comprensión y dificulta un análisis claro del método de ataque. Se recomienda habilitar el registro en un servidor syslog remoto para mejorar la correlación y la auditoría de los incidentes de seguridad y de red en varios dispositivos de red.
Para obtener información sobre cómo configurar el registro, consulte estas guías específicas de la plataforma:
Software Cisco ASA:
Software Cisco FTD:
Para ayudar a mitigar el impacto y reducir la probabilidad de ocurrencia de estos ataques de fuerza bruta en sus conexiones RAVPN, puede revisar y aplicar las siguientes opciones de configuración:
Las funciones de detección de amenazas para los servicios VPN de acceso remoto ayudan a evitar los ataques DoS (denegación de servicio) desde direcciones IPv4 bloqueando automáticamente el host (dirección IP) que supera los umbrales configurados para evitar más intentos hasta que elimine manualmente el rechazo de la dirección IP. Hay servicios independientes disponibles para estos tipos de ataques:
Estas funciones de detección de amenazas son compatibles actualmente con las siguientes versiones de Cisco Secure Firewall:
Software ASA:
Software FTD:
Para obtener más información y ayuda para la configuración, consulte las guías de documentación:
Si la versión de Secure Firewall no admite las funciones de detección de amenazas de los servicios VPN de acceso remoto, implemente medidas de refuerzo para reducir el riesgo de impacto de estos ataques:
Para obtener más detalles, consulte la Guía de Implementación de Medidas de Refuerzo para Secure Client AnyConnect VPN.
Los usuarios pueden experimentar la imposibilidad de establecer conexiones VPN con Cisco Secure Client (AnyConnect) cuando la condición del firewall (HostScan) está habilitada en Secure Firewall. Puede encontrar intermitentemente un mensaje de error que dice: "No se puede completar la conexión. Cisco Secure Desktop no está instalado en el cliente".

Este comportamiento es una consecuencia de la explotación exitosa de la vulnerabilidad CVE-2024-20481 descrita a continuación.
Esta vulnerabilidad se debe al agotamiento de los recursos debido a los ataques mediante pulverización de contraseñas, en los que los atacantes envían numerosas solicitudes de autenticación de VPN al dispositivo objetivo. La explotación exitosa puede conducir a una Denegación de Servicio para el servicio RAVPN. Un síntoma clave de esta vulnerabilidad es cuando los usuarios se encuentran de forma intermitente con el mensaje "No se puede completar la conexión. Cisco Secure Desktop no está instalado en el cliente". mensaje de error cuando intentan establecer una conexión RAVPN utilizando Cisco Secure Client.
Para corregir esta vulnerabilidad, es necesario actualizar a las versiones de software enumeradas en el aviso de seguridad. Además, se recomienda activar las funciones de detección de amenazas para VPN de acceso remoto después de actualizar el firewall seguro a estas versiones para protegerse contra los ataques de DoS dirigidos a los servicios VPN de RA.
Consulte el aviso de seguridad de Vulnerabilidad por denegación de servicio por fuerza bruta de VPN de acceso remoto del software Cisco ASA y FTD para obtener más detalles.
Si necesita más ayuda, póngase en contacto con el TAC de Cisco. Se necesita un contrato de soporte válido: Contactos de soporte a nivel mundial de Cisco.
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
8.0 |
01-Jul-2026
|
Título del artículo actualizado, introducción, ortografía, espaciado, texto alternativo, alertas de CCW y URL. |
7.0 |
26-Oct-2024
|
Se ha actualizado la sección "Comportamientos relacionados" para agregar una vulnerabilidad reciente relacionada con este documento. |
6.0 |
20-Sep-2024
|
Se han actualizado las versiones compatibles de las funciones de detección de amenazas para VPN de acceso remoto. |
5.0 |
06-Sep-2024
|
Se ha añadido la recomendación "Configurar la detección de amenazas para VPN de acceso remoto". |
4.0 |
22-Apr-2024
|
Se han actualizado las secciones de "Información general" y "Recomendaciones". |
3.0 |
15-Apr-2024
|
El ID de bug de Cisco CSCwj45822, agregado la subsección "Agotamiento de Token de Hostscan", agregado la sección "Implementaciones de endurecimiento adicionales para RAVPN" |
2.0 |
01-Apr-2024
|
Se actualizó el título del documento, se cambió el nombre de la sección "IoC" a "Patrones inusuales observados" y se añadieron más detalles en la sección "Recomendaciones". |
1.0 |
26-Mar-2024
|
Versión inicial |