Ce document décrit les recommandations à prendre en compte contre les attaques par mot de passe visant les services VPN d'accès à distance dans Secure Firewall.
Les attaques par pulvérisation de mots de passe sont un type d'attaque en force dans laquelle un pirate tente d'obtenir un accès non autorisé à plusieurs comptes d'utilisateurs en utilisant systématiquement quelques mots de passe couramment utilisés sur de nombreux comptes. Des attaques par pulvérisation de mots de passe réussies peuvent entraîner un accès non autorisé à des informations sensibles, des violations de données et des atteintes potentielles à l'intégrité du réseau
En outre, ces attaques, même si elles échouent dans leur tentative d'accès, peuvent consommer des ressources informatiques du pare-feu sécurisé et empêcher les utilisateurs valides de se connecter aux services VPN d'accès à distance.
Lorsque votre pare-feu sécurisé est la cible d'attaques par mot de passe dans les services VPN d'accès à distance, vous pouvez identifier ces attaques en surveillant les journaux système et en exécutant des commandes show spécifiques. Les comportements les plus courants à rechercher sont les suivants :
La tête de réseau VPN Cisco Secure Firewall ASA ou FTD présente des symptômes d'attaques par pulvérisation de mot de passe avec un taux inhabituel de tentatives d'authentification rejetées.
La meilleure façon de détecter ceci est en regardant le syslog. Recherchez un nombre inhabituel d'ID syslog ASA suivants :
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
Le nom d'utilisateur est toujours masqué jusqu'à ce que la commande no logging hide username soit configurée sur l'ASA.
Pour vérifier, connectez-vous à l'interface de ligne de commande (CLI) ASA ou FTD et exécutez la commande show aaa-server. Recherchez un nombre inhabituel de tentatives et de refus de demandes d'authentification à l'un des serveurs AAA configurés :
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
Examiner et appliquer les recommandations décrites ci-dessous :
La journalisation est un élément essentiel de la cybersécurité qui implique l'enregistrement des événements se produisant dans un système. L'absence de journaux détaillés laisse des lacunes dans la compréhension et empêche une analyse claire de la méthode d'attaque. Il est recommandé d'activer la journalisation sur un serveur syslog distant pour améliorer la corrélation et l'audit des incidents réseau et de sécurité sur divers périphériques réseau.
Pour plus d'informations sur la configuration de la journalisation, reportez-vous aux guides spécifiques à la plate-forme suivants :
Logiciel Cisco ASA :
Logiciel Cisco FTD :
Pour réduire l'impact et la probabilité de ces attaques en force sur vos connexions RAVPN, vous pouvez passer en revue et appliquer les options de configuration suivantes :
Les fonctionnalités de détection des menaces pour les services VPN d'accès à distance permettent d'empêcher les attaques DoS (Denial of Service) à partir d'adresses IPv4 en bloquant automatiquement l'hôte (adresse IP) qui dépasse les seuils configurés pour empêcher toute nouvelle tentative jusqu'à ce que vous supprimiez manuellement la désactivation de l'adresse IP. Des services distincts sont disponibles pour ces types d'attaques :
Ces fonctions de détection des menaces sont actuellement prises en charge dans les versions de Cisco Secure Firewall suivantes :
Logiciel ASA :
Logiciel FTD :
Pour obtenir des informations détaillées et une assistance de configuration, reportez-vous aux guides de documentation suivants :
Si les fonctions de détection des menaces pour les services VPN d'accès à distance ne sont pas prises en charge dans votre version Secure Firewall, mettez en oeuvre des mesures de sécurisation pour réduire les risques d'impact de ces attaques :
Pour plus de détails, référez-vous au Guide Implémenter des mesures de renforcement pour le client sécurisé AnyConnect VPN.
Les utilisateurs ne peuvent pas établir de connexions VPN avec Cisco Secure Client (AnyConnect) lorsque la position du pare-feu (HostScan) est activée sur Secure Firewall. Il peut rencontrer par intermittence un message d'erreur indiquant « Unable to complete connection. Cisco Secure Desktop n'est pas installé sur le client.

Ce comportement est une conséquence de l'exploitation réussie de la vulnérabilité CVE-2024-20481 décrite ci-après.
Cette vulnérabilité est due à l’épuisement des ressources dû aux attaques par pulvérisation de mots de passe, au cours desquelles les pirates envoient de nombreuses requêtes d’authentification VPN au périphérique cible. Une exploitation réussie peut entraîner un déni de service pour le service RAVPN. Un symptôme clé de cet exploit est lorsque les utilisateurs rencontrent par intermittence le message « Unable to complete connection ». Cisco Secure Desktop n'est pas installé sur le client. lorsqu'ils tentent d'établir une connexion RAVPN à l'aide de Cisco Secure Client.
Pour corriger cette vulnérabilité, il est nécessaire d'effectuer une mise à niveau vers les versions logicielles répertoriées dans l'avis de sécurité. En outre, il est recommandé d'activer les fonctions de détection des menaces pour le VPN d'accès à distance après la mise à niveau de votre pare-feu sécurisé vers ces versions afin de vous protéger contre les attaques DoS visant les services RAVPN.
Référez-vous à l'avis de sécurité Vulnérabilité de déni de service de force brute du VPN d'accès à distance Cisco ASA et FTD pour plus de détails.
Pour obtenir de l'aide supplémentaire, contactez le TAC Cisco. Un contrat d'assistance valide est requis : Coordonnées du service d’assistance Cisco à l’échelle mondiale.
| Révision | Date de publication | Commentaires |
|---|---|---|
8.0 |
01-Jul-2026
|
Titre, introduction, orthographe, espacement, texte de remplacement, alertes CCW et URL mis à jour. |
7.0 |
26-Oct-2024
|
Mise à jour de la section « Comportements associés » pour ajouter une vulnérabilité récente liée à ce document. |
6.0 |
20-Sep-2024
|
Mise à jour des versions prises en charge des fonctionnalités de détection des menaces pour le VPN d'accès à distance. |
5.0 |
06-Sep-2024
|
Ajout de la recommandation « Configurer la détection des menaces pour le VPN d'accès à distance ». |
4.0 |
22-Apr-2024
|
Mise à jour des sections « Renseignements généraux » et « Recommandations ». |
3.0 |
15-Apr-2024
|
L'ID de bogue Cisco lié CSCwj45822, a ajouté la sous-section « Hostscan Token Exhaustion », a ajouté la section « Additional Hardening Implementations for RAVPN » |
2.0 |
01-Apr-2024
|
Mise à jour du titre du document, renommage la section « IoC » en « Modèles inhabituels observés » et ajout de détails sous la section « Recommandations ». |
1.0 |
26-Mar-2024
|
Première publication |