In questo documento vengono forniti suggerimenti da prendere in considerazione per evitare attacchi con spray di password destinati ai servizi VPN ad accesso remoto in Secure Firewall.
Gli attacchi tramite spray di password sono un tipo di attacco di forza bruta in cui un utente non autorizzato tenta di ottenere l'accesso non autorizzato a più account utente utilizzando in modo sistematico poche password comunemente utilizzate in molti account. Attacchi tramite spray di password riusciti possono comportare l'accesso non autorizzato a informazioni riservate, violazioni dei dati e potenziali compromessi dell'integrità della rete
Inoltre, questi attacchi, anche quando non riescono a ottenere l'accesso, possono consumare le risorse computazionali dal Secure Firewall e impedire agli utenti validi di connettersi ai servizi VPN di accesso remoto.
Quando il firewall protetto è bersaglio di attacchi con spray di password nei servizi VPN ad accesso remoto, è possibile identificare questi attacchi monitorando i syslog ed eseguendo comandi show specifici. I comportamenti più comuni da cercare includono:
L'headend VPN Cisco Secure Firewall ASA o FTD mostra sintomi di attacchi con spray di password con una frequenza insolita di tentativi di autenticazione rifiutati.
Il modo migliore per rilevarlo è guardando il syslog. Cercare un numero insolito di uno qualsiasi dei successivi ID syslog ASA:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
Il nome utente è sempre nascosto finché non si configura il comando no logging hide username sull'appliance ASA.
Per verificarlo, accedere all'interfaccia della riga di comando (CLI) ASA o FTD ed eseguire il comando show aaa-server. Individuare un numero insolito di richieste di autenticazione tentate e rifiutate per uno dei server AAA configurati:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
Prendere in considerazione e applicare le raccomandazioni descritte di seguito.
La registrazione è una parte cruciale della sicurezza informatica che comporta la registrazione degli eventi che si verificano all'interno di un sistema. L'assenza di registri dettagliati lascia delle lacune nella comprensione e ostacola una chiara analisi del metodo di attacco. Si consiglia di abilitare la registrazione su un server syslog remoto per migliorare la correlazione e il controllo degli incidenti di rete e di sicurezza tra vari dispositivi di rete.
Per informazioni su come configurare la registrazione, fare riferimento alle seguenti guide specifiche della piattaforma:
Software Cisco ASA:
Software Cisco FTD:
Per ridurre l'impatto e la probabilità che si verifichino questi attacchi di forza bruta sulle connessioni RAVPN, è possibile esaminare e applicare le opzioni di configurazione successive:
Le funzionalità di rilevamento delle minacce per i servizi VPN ad accesso remoto impediscono attacchi DoS (Denial of Service) da indirizzi IPv4 bloccando automaticamente l'host (indirizzo IP) che supera le soglie configurate per impedire ulteriori tentativi finché non si rimuove manualmente la condivisione dell'indirizzo IP. Per questi tipi di attacchi sono disponibili servizi distinti:
Queste funzionalità di rilevamento minacce sono attualmente supportate nelle versioni di Cisco Secure Firewall elencate di seguito:
Software ASA:
Software FTD:
Per informazioni dettagliate e assistenza nella configurazione, consultare le guide alla documentazione:
Se le funzionalità di rilevamento delle minacce per i servizi VPN ad accesso remoto non sono supportate nella versione del firewall protetto in uso, implementare misure di protezione avanzata per ridurre il rischio di impatto da questi attacchi:
Per ulteriori informazioni, consultare la guida all'implementazione delle misure di protezione avanzata per la VPN AnyConnect client sicura.
Gli utenti possono riscontrare l'impossibilità di stabilire connessioni VPN con Cisco Secure Client (AnyConnect) quando la postura del firewall (HostScan) è abilitata sul firewall sicuro. È possibile che venga visualizzato a intermittenza un messaggio di errore che indica "Impossibile completare la connessione. Cisco Secure Desktop non installato sul client."

Questo comportamento è una conseguenza del successo dello sfruttamento della vulnerabilità CVE-2024-20481 descritta di seguito.
Questa vulnerabilità deriva dall'esaurimento delle risorse a causa di attacchi di spray di password in cui gli aggressori inviano numerose richieste di autenticazione VPN al dispositivo di destinazione. Se lo sfruttamento riesce, è possibile che si verifichi un attacco Denial of Service per il servizio RAVPN. Un sintomo chiave di questo attacco è quando gli utenti incontrano a intermittenza "Impossibile completare la connessione. Cisco Secure Desktop non installato sul client." quando tentano di stabilire una connessione RAVPN utilizzando Cisco Secure Client.
Per risolvere questa vulnerabilità, è necessario eseguire l'aggiornamento alle versioni software elencate nell'advisory della sicurezza. È inoltre consigliabile abilitare le funzionalità di rilevamento minacce per VPN ad accesso remoto dopo l'aggiornamento del firewall protetto a queste versioni per proteggere il sistema dagli attacchi DoS diretti ai servizi VPN.
Per ulteriori informazioni, fare riferimento all'advisory della sicurezza della vulnerabilità della forza bruta di negazione del servizio della VPN ad accesso remoto del software Cisco ASA e FTD.
Per ulteriore assistenza, contattare Cisco TAC. È necessario un contratto di supporto valido: Contatti del supporto Cisco internazionali.
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
8.0 |
01-Jul-2026
|
Titolo, introduzione, ortografia, spaziatura, testo alternativo, avvisi CCW e URL aggiornati. |
7.0 |
26-Oct-2024
|
È stata aggiornata la sezione "Comportamenti correlati" per aggiungere una vulnerabilità recente relativa a questo documento. |
6.0 |
20-Sep-2024
|
Versioni aggiornate delle funzionalità di rilevamento minacce per VPN ad accesso remoto. |
5.0 |
06-Sep-2024
|
È stata aggiunta la raccomandazione "Configura rilevamento minacce per VPN ad accesso remoto". |
4.0 |
22-Apr-2024
|
Aggiornamento delle sezioni "Informazioni generali" e "Raccomandazioni". |
3.0 |
15-Apr-2024
|
L'ID bug Cisco collegato CSCwj45822, ha aggiunto la sottosezione "Hostscan Token Exhaustion" e la sezione "Ulteriori implementazioni di protezione avanzata per RAVPN" |
2.0 |
01-Apr-2024
|
Il titolo del documento è stato aggiornato, rinominando la sezione "IoCs" in "Modi insoliti osservati" e aggiungendo ulteriori dettagli nella sezione "Consigli". |
1.0 |
26-Mar-2024
|
Versione iniziale |