Este documento descreve as recomendações a serem consideradas contra ataques de spray de senha direcionados aos serviços de VPN de acesso remoto no Firewall seguro.
Ataques de spray de senha são um tipo de ataque de força bruta em que um invasor tenta obter acesso não autorizado a várias contas de usuário usando sistematicamente algumas senhas comumente usadas em muitas contas. Ataques de spray de senha bem-sucedidos podem levar a acesso não autorizado a informações confidenciais, violações de dados e possíveis comprometimentos da integridade da rede
Além disso, esses ataques, mesmo quando mal sucedidos em sua tentativa de obter acesso, podem consumir recursos computacionais do Firewall Seguro e impedir que usuários válidos se conectem aos serviços VPN de acesso remoto.
Quando o seu firewall seguro é alvo de ataques de borrifada de senha nos serviços de VPN de acesso remoto, você pode identificar esses ataques monitorando syslogs e executando comandos show específicos. Os comportamentos mais comuns a serem procurados incluem:
O headend da VPN Cisco Secure Firewall ASA ou FTD mostra sintomas de ataques de spray de senha com uma taxa incomum de tentativas de autenticação rejeitadas.
A melhor maneira de detectar isso é observando o syslog. Procure um número incomum de qualquer um dos próximos IDs de syslog do ASA:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
O nome de usuário está sempre oculto até que o comando no logging hide username seja configurado no ASA.
Para verificar, faça login na Interface de Linha de Comando (CLI) do ASA ou do FTD e execute o comando show aaa-server. Procure um número incomum de solicitações de autenticação tentadas e rejeitadas para qualquer um dos servidores AAA configurados:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
Considere e aplique as recomendações descritas:
O registro é uma parte crucial da segurança digital que envolve o registro de eventos que ocorrem em um sistema. A ausência de registros detalhados deixa lacunas na compreensão e dificulta uma análise clara do método de ataque. É recomendável habilitar o registro em um servidor syslog remoto para melhorar a correlação e a auditoria de incidentes de rede e segurança em vários dispositivos de rede.
Para obter informações sobre como configurar o registro, consulte estes guias específicos de plataforma:
Software Cisco ASA:
Software Cisco FTD:
Para ajudar a reduzir o impacto e a probabilidade de ocorrência desses ataques de força bruta nas conexões RAVPN, você pode rever e aplicar as próximas opções de configuração:
Os recursos de detecção de ameaças para serviços VPN de acesso remoto ajudam a evitar ataques de negação de serviço (DoS - Denial of Service) de endereços IPv4, bloqueando automaticamente o host (endereço IP) que excede os limites configurados para impedir novas tentativas até que você remova manualmente o shun do endereço IP. Há serviços separados disponíveis para esses tipos de ataques:
Esses recursos de detecção de ameaças são suportados atualmente nas versões do Cisco Secure Firewall listadas a seguir:
Software ASA:
Software FTD:
Para obter detalhes completos e assistência na configuração, consulte os guias de documentação:
Se os recursos de detecção de ameaças para serviços VPN de acesso remoto não forem suportados na sua versão Secure Firewall, implemente medidas de proteção para reduzir o risco de impacto desses ataques:
Para obter mais detalhes, consulte o Guia Implementar medidas de proteção para Secure Client AnyConnect VPN.
Os usuários podem experimentar a incapacidade de estabelecer conexões VPN com o Cisco Secure Client (AnyConnect) quando a postura do firewall (HostScan) estiver habilitada no Secure Firewall. Ele pode encontrar de forma intermitente uma mensagem de erro que diz: "Não é possível concluir a conexão. O Cisco Secure Desktop não está instalado no cliente."

Este comportamento é uma consequência da exploração bem sucedida da vulnerabilidade CVE-2024-20481 descrita a seguir.
Essa vulnerabilidade surge do esgotamento de recursos devido a ataques de borrifada de senha, em que os invasores enviam várias solicitações de autenticação de VPN para o dispositivo de destino. A exploração bem-sucedida pode levar a uma negação de serviço para o serviço RAVPN. Um sintoma importante dessa exploração é quando os usuários se deparam intermitentemente com o problema "Não é possível concluir a conexão. O Cisco Secure Desktop não está instalado no cliente." quando tentam estabelecer uma conexão RAVPN usando o Cisco Secure Client.
Para corrigir essa vulnerabilidade, é necessário atualizar para as versões de software listadas no consultivo de segurança. Além disso, é recomendável habilitar os recursos de detecção de ameaças para a VPN de acesso remoto após o upgrade do seu firewall seguro para essas versões, a fim de proteger contra ataques DoS direcionados a serviços de VPN RÁPIDA.
Consulte o aviso de segurança de Vulnerabilidade de Força Bruta de Negação de Serviço da VPN de Acesso Remoto do Software Cisco ASA e FTD para obter detalhes completos.
Para obter assistência adicional, entre em contato com o TAC da Cisco. É necessário um contrato de suporte válido: Contatos de suporte da Cisco no mundo inteiro.
| Revisão | Data de publicação | Comentários |
|---|---|---|
8.0 |
01-Jul-2026
|
Título, introdução, ortografia, espaçamento, texto alternativo, alertas do CCW e URLs atualizados. |
7.0 |
26-Oct-2024
|
Seção "Comportamentos relacionados" atualizada para adicionar uma vulnerabilidade recente relacionada a este documento. |
6.0 |
20-Sep-2024
|
Atualizadas as versões com suporte dos recursos de Detecção de Ameaças para VPN de Acesso Remoto. |
5.0 |
06-Sep-2024
|
Adicionada a recomendação "Configurar detecção de ameaças para VPN de acesso remoto". |
4.0 |
22-Apr-2024
|
Atualizadas as seções "Informações de apoio" e "Recomendações". |
3.0 |
15-Apr-2024
|
O bug da Cisco ID CSCwj45822, adicionado à subseção "Esgotamento do token de verificação de host", adicionou a seção "Implementações adicionais de proteção para RAVPN" |
2.0 |
01-Apr-2024
|
Atualizado o título do documento, renomeado a seção "IoCs" para "Padrões incomuns observados" e adicionados mais detalhes sob a seção "recomendações". |
1.0 |
26-Mar-2024
|
Versão inicial |