Dit document beschrijft aanbevelingen om te overwegen tegen aanvallen met wachtwoordspray gericht op VPN-services voor externe toegang in Secure Firewall.
Wachtwoordspray-aanvallen zijn een soort brute-force-aanval waarbij een aanvaller probeert ongeautoriseerde toegang te krijgen tot meerdere gebruikersaccounts door systematisch een paar veelgebruikte wachtwoorden voor veel accounts te gebruiken. Succesvolle wachtwoordspuitaanvallen kunnen leiden tot ongeoorloofde toegang tot gevoelige informatie, datalekken en potentiële compromissen van netwerkintegriteit
Bovendien kunnen deze aanvallen, zelfs wanneer ze geen succes hebben bij hun poging om toegang te krijgen, computerbronnen van de Secure Firewall verbruiken en voorkomen dat geldige gebruikers verbinding maken met de VPN-services voor externe toegang.
Wanneer uw Secure Firewall het doelwit is van aanvallen met wachtwoordspray in VPN-services voor externe toegang, kunt u deze aanvallen identificeren door syslogs te bewaken en specifieke showopdrachten uit te voeren. De meest voorkomende gedragingen om naar te zoeken zijn:
De VPN-headend Cisco Secure Firewall ASA of FTD vertoont symptomen van wachtwoordspray-aanvallen met een ongebruikelijk aantal geweigerde authenticatiepogingen.
De beste manier om dit te detecteren is door naar de syslog te kijken. Zoek naar een ongebruikelijk aantal van de volgende ASA syslog ID's:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
De gebruikersnaam wordt altijd verborgen totdat de opdracht geen gebruikersnaam verbergen is geconfigureerd op de ASA.
Meld u aan bij de ASA- of FTD-opdrachtregelinterface (CLI) en voer de opdracht show aaa-server uit. Onderzoek naar een ongebruikelijk aantal pogingen tot en afwijzing van authenticatieverzoeken voor een van de geconfigureerde AAA-servers:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
Overweeg en pas de beschreven aanbevelingen toe:
Logging is een cruciaal onderdeel van cybersecurity waarbij gebeurtenissen binnen een systeem worden geregistreerd. Het ontbreken van gedetailleerde logboeken laat hiaten in het begrip en belemmert een duidelijke analyse van de aanvalsmethode. Het wordt aanbevolen om logboekregistratie op een externe syslog-server in te schakelen voor een betere correlatie en controle van netwerk- en beveiligingsincidenten op verschillende netwerkapparaten.
Raadpleeg deze platformspecifieke handleidingen voor informatie over het configureren van logboekregistratie:
Cisco ASA Software:
Cisco FTD-software:
Om de impact te helpen beperken en de kans op deze brute-force aanvallen op uw RAVPN-verbindingen te verminderen, kunt u de volgende configuratieopties bekijken en toepassen:
De functies voor bedreigingsdetectie voor VPN-services voor externe toegang helpen DoS-aanvallen (Denial of Service) van IPv4-adressen te voorkomen door de host (IP-adres) die de geconfigureerde drempelwaarden overschrijdt automatisch te blokkeren om verdere pogingen te voorkomen totdat u handmatig de schijn van het IP-adres verwijdert. Er zijn verschillende diensten beschikbaar voor dit soort aanvallen:
Deze functies voor bedreigingsdetectie worden momenteel ondersteund in de versies van Cisco Secure Firewall die hieronder worden vermeld:
ASA Software:
FTD-software:
Voor volledige details en hulp bij de configuratie raadpleegt u de documentatie-handleidingen:
Als de bedreigingsdetectiefuncties voor VPN-services voor externe toegang niet worden ondersteund in uw versie van Secure Firewall, implementeert u hardingsmaatregelen om het risico op impact van deze aanvallen te verlagen:
Raadpleeg voor meer informatie de handleiding Implementeren van hardingsmaatregelen voor beveiligde AnyConnect VPN-clients.
Gebruikers kunnen ervaren dat het niet mogelijk is om VPN-verbindingen met Cisco Secure Client (AnyConnect) tot stand te brengen wanneer Firewall Posture (HostScan) is ingeschakeld op Secure Firewall. Er kan af en toe een foutbericht verschijnen met de tekst: "Verbinding kan niet worden voltooid. Cisco Secure Desktop is niet op de client geïnstalleerd."

Dit gedrag is een gevolg van de succesvolle exploitatie van de kwetsbaarheid CVE-2024-20481 die hierna wordt beschreven.
Deze kwetsbaarheid komt voort uit uitputting van bronnen als gevolg van aanvallen met wachtwoordspray waarbij aanvallers tal van VPN-verificatieverzoeken naar het doelapparaat sturen. Succesvolle exploitatie kan leiden tot een Denial of Service voor de RAVPN-service. Een belangrijk symptoom van deze exploit is wanneer gebruikers met tussenpozen de "Kan de verbinding niet voltooien. Cisco Secure Desktop is niet geïnstalleerd op de client." foutbericht wanneer ze proberen een RAVPN-verbinding tot stand te brengen met behulp van Cisco Secure Client.
Om dit beveiligingslek te verhelpen, is het noodzakelijk om te upgraden naar de softwareversies die worden vermeld in de beveiligingsadviezen. Bovendien wordt aanbevolen om functies voor bedreigingsdetectie in te schakelen voor Remote Access VPN nadat uw Secure Firewall is bijgewerkt naar deze versies om te beschermen tegen DoS-aanvallen gericht op RAVPN-services.
Raadpleeg het beveiligingsadvies van Cisco ASA en FTD Software Remote Access VPN Brute Force Denial of Service Vulnerability voor meer informatie.
Neem voor aanvullende hulp contact op met Cisco TAC. Een geldig supportcontract is vereist: Cisco’s wereldwijde contactgegevens voor ondersteuning.
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
8.0 |
01-Jul-2026
|
Bijgewerkte artikeltitel, inleiding, spelling, spatiëring, alt-tekst, CCW-waarschuwingen en URL's. |
7.0 |
26-Oct-2024
|
Bijgewerkt de sectie "Gerelateerd gedrag" om een recente kwetsbaarheid met betrekking tot dit document toe te voegen. |
6.0 |
20-Sep-2024
|
Bijgewerkt de ondersteunde versies van Threat Detection functies voor Remote Access VPN. |
5.0 |
06-Sep-2024
|
De aanbeveling "Configure Threat Detection for Remote Access VPN" is toegevoegd. |
4.0 |
22-Apr-2024
|
Bijgewerkt de secties "Achtergrondinformatie" en "Aanbevelingen". |
3.0 |
15-Apr-2024
|
Gekoppelde Cisco bug ID CSCwj45822, voegde de subsectie "Hostscan Token Exhaustion" toe, voegde de sectie "Aanvullende Hardening Implementaties voor RAVPN" toe |
2.0 |
01-Apr-2024
|
Bijgewerkt de titel van het document, omgedoopt tot de sectie "IoC's" naar "Ongebruikelijke patronen waargenomen" en meer details toegevoegd onder de sectie "aanbevelingen". |
1.0 |
26-Mar-2024
|
Eerste vrijgave |