このドキュメントでは、セキュアファイアウォールのリモートアクセスVPNサービスを対象としたパスワードスプレー攻撃に対して考慮すべき推奨事項について説明します。
パスワードスプレー攻撃は総当たり攻撃の一種で、攻撃者が多数のアカウントで一般的に使用される数個のパスワードを体系的に使用して、複数のユーザアカウントへの不正アクセスを試みます。 パスワードスプレー攻撃に成功すると、機密情報への不正アクセス、データ漏洩、ネットワークの整合性の低下を招く可能性があります
さらに、これらの攻撃は、アクセスを試みても失敗した場合でも、セキュアファイアウォールの計算リソースを消費し、有効なユーザがリモートアクセスVPNサービスに接続できなくなる可能性があります。
セキュアファイアウォールがリモートアクセスVPNサービスのパスワードスプレー攻撃の標的になっている場合は、syslogを監視して特定のshowコマンドを実行することで、これらの攻撃を特定できます。最も一般的な動作を次に示します。
VPNヘッドエンドのCisco Secure Firewall ASAまたはFTDに、認証試行の拒否という異常な率のパスワードスプレー攻撃の症状が表示されます。
これを検出する最善の方法は、syslogを確認することです。次のASA syslog IDのうち、異常な数を探します。
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
ユーザ名は、ASAでno logging hide usernameコマンドが設定されるまで、常に非表示になります。
確認するには、ASAまたはFTDのコマンドラインインターフェイス(CLI)にログインして、show aaa-serverコマンドを実行します。設定されたAAAサーバに対して、試行された認証要求と拒否された認証要求の数が異常でないかどうかを調査します。
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
次に示す推奨事項を検討し、適用します。
ロギングは、システム内で発生するイベントの記録を含むサイバーセキュリティの重要な部分です。詳細なログが存在しないため、攻撃方法の明確な分析を理解し、妨げるギャップが残ります。さまざまなネットワークデバイス間のネットワークおよびセキュリティインシデントの関連付けと監査を改善するために、リモートsyslogサーバへのロギングを有効にすることをお勧めします。
ロギングの設定方法については、次のプラットフォーム固有のガイドを参照してください。
Cisco ASAソフトウェア:
Cisco FTDソフトウェア:
この影響を軽減し、RAVPN接続でこのようなブルートフォース攻撃が発生する可能性を低減するには、次の設定オプションを確認して適用します。
リモートアクセスVPNサービスの脅威検出機能は、設定されたしきい値を超えるホスト(IPアドレス)を自動的にブロックすることで、IPアドレスの回避を手動で解除するまで攻撃を続けないようにし、IPv4アドレスからのDoS(サービス拒否)攻撃を防止します。次のタイプの攻撃に対して個別のサービスを使用できます。
これらの脅威検出機能は、次に示すバージョンのCisco Secure Firewallで現在サポートされています。
ASAソフトウェア:
FTDソフトウェア:
詳細および設定のサポートについては、次のドキュメントガイドを参照してください。
リモートアクセスVPNサービスの脅威検出機能が、ご使用のセキュアファイアウォールバージョンでサポートされていない場合は、次の攻撃による影響のリスクを低減する強化対策を実装してください。
詳細については、『セキュアクライアントAnyConnect VPNの強化対策の実装』ガイドを参照してください。
Secure FirewallでFirewall Posture(HostScan)が有効になっていると、Cisco Secure Client(AnyConnect)でVPN接続を確立できません。断続的に、「Unable to complete connection.Cisco Secure Desktopがクライアントにインストールされていません。」

この動作は、次に説明する脆弱性CVE-2024-20481の不正利用が成功した結果です。
この脆弱性は、攻撃者がターゲットデバイスに多数のVPN認証要求を送信するパスワードスプレー攻撃によるリソースの枯渇から発生します。不正利用に成功すると、RAVPNサービスのサービス拒否(DoS)につながる可能性があります。この不正利用の主な症状は、ユーザが断続的に「Unable to complete connection.Cisco Secure Desktop not installed on the client」というエラーメッセージをトラブルシューティングするための方法について説明します。
この脆弱性を修正するには、セキュリティアドバイザリに記載されているソフトウェアバージョンにアップグレードする必要があります。さらに、RAVPNサービスを対象としたDoS攻撃から保護するために、セキュアファイアウォールをこれらのバージョンにアップグレードした後で、リモートアクセスVPNの脅威検出機能を有効にすることをお勧めします。
詳細については、セキュリティアドバイザリ『Cisco ASAおよびFTDソフトウェアのリモートアクセスVPNにおけるブルートフォースのDenial of Service(DoS)の脆弱性』を参照してください。
詳細については、Cisco TACにお問い合わせください。有効なサポート契約が必要です。 各国のシスコ サポートの連絡先.
| 改定 | 発行日 | コメント |
|---|---|---|
8.0 |
01-Jul-2026
|
記事のタイトル、概要、スペル、スペース、代替テキスト、CCWアラート、URLを更新。 |
7.0 |
26-Oct-2024
|
「関連する動作」セクションを更新し、このドキュメントに関連する最新の脆弱性を追加。 |
6.0 |
20-Sep-2024
|
リモートアクセスVPNでサポートされるバージョンの脅威検出機能を更新。 |
5.0 |
06-Sep-2024
|
「リモートアクセスVPNの脅威検出の設定」の推奨事項を追加。 |
4.0 |
22-Apr-2024
|
「背景説明」と「推奨事項」のセクションを更新。 |
3.0 |
15-Apr-2024
|
リンクされたCisco Bug ID CSCwj45822、「ホストスキャントークンの枯渇」サブセクション、「RAVPNの強化機能の追加」セクションが追加されました |
2.0 |
01-Apr-2024
|
文書のタイトルを更新し、「IoC」セクションの名前を「異常なパターンが観察される」に変更し、「推奨事項」セクションに詳細を追加。 |
1.0 |
26-Mar-2024
|
初版 |