Naujos Cisco ASA ir FTD funkcijos blokuoja VPN brutalios jėgos slaptažodžių atakas


„Cisco“ pridėjo naujų saugos funkcijų, kurios žymiai sumažina „Cisco ASA“ ir „Firepower Threat Defense“ (FTD) žiaurios jėgos ir slaptažodžių purškimo atakas, padeda apsaugoti tinklą nuo pažeidimų ir sumažina įrenginių išteklių naudojimą.

Slaptažodžio išpurškimas ir žiaurios jėgos atakos yra panašios tuo, kad bando gauti neteisėtą prieigą prie internetinės paskyros atspėjus slaptažodį.

Tačiau slaptažodžių purškimo atakos bandys vienu metu naudoti tuos pačius slaptažodžius keliose paskyrose, kad išvengtų gynybos. Priešingai, žiaurios jėgos atakos pakartotinai nukreiptos į vieną paskyrą su skirtingais slaptažodžio bandymais.

Balandį „Cisco“ atskleidė, kad grėsmės veikėjai vykdė didžiulius brutalios jėgos išpuolius prieš VPN paskyras įvairiuose tinklo įrenginiuose, įskaitant „Cisco“, „Checkpoint“, „Fortinet“, „SonicWall“, „RD Web Services“, „Miktrotik“, „Draytek“ ir „Ubiquiti“ įrenginius.

„Cisco“ perspėjo, kad sėkmingos atakos gali sukelti neteisėtą prieigą, paskyros blokavimą ir paslaugų atsisakymo būsenas, priklausomai nuo tikslinės aplinkos.

Šios atakos leido „Cisco“ aptikti ir ištaisyti paslaugų atsisakymo pažeidžiamumą, pažymėtą CVE-2024-20481, kuris išnaudojo „Cisco ASA“ ir FTD įrenginių išteklius, kai susidūrė su tokio tipo atakomis.

Naujos VPN brutalios jėgos atakų apsaugos funkcijos

Po atakų balandžio mėnesį „Cisco“ išleido naujas grėsmių aptikimo galimybes „Cisco ASA“ ir „Firewall Threat Defense“ (FTD), kurios žymiai sumažina žiaurios jėgos ir slaptažodžių purškimo atakų poveikį.

Nors šios funkcijos buvo prieinamos kai kurioms programinės įrangos versijoms nuo birželio mėn., jos tapo prieinamos visoms versijoms iki šio mėnesio.

Deja, kalbėdami su kai kuriais Cisco administratoriais jie nežinojo apie šias naujas funkcijas. Tačiau tie, kurie buvo, pranešė apie didelę sėkmę mažinant VPN brutalios jėgos atakas, kai įjungtos funkcijos.

„Tai veikė taip stebuklingai, kad valandinis 500 tūkst. gedimų sumažėjo iki 170! praėjusią naktį!“, – „Reddit“ dalijosi „Cisco“ administratorius.

Šios naujos funkcijos yra grėsmių aptikimo paslaugos dalis ir blokuoja šių tipų atakas:

  • Pakartotiniai nesėkmingi autentifikavimo bandymai nuotolinės prieigos prie VPN paslaugų (žiaurios jėgos naudotojo vardo / slaptažodžio nuskaitymo atakos).
  • Kliento inicijavimo atakoskai užpuolikas pradeda, bet neužbaigia, bando prisijungti prie nuotolinės prieigos VPN antraštės kelis kartus iš vieno pagrindinio kompiuterio.
  • Prisijungiant bandoma naudoti netinkamas nuotolinės prieigos VPN paslaugas. Tai yra, kai užpuolikai bando prisijungti prie konkrečių įmontuotų tunelių grupių, skirtų tik vidiniam įrenginio veikimui. Teisėti galiniai taškai niekada neturėtų bandyti prisijungti prie šių tunelių grupių.

„Cisco“ sakė „BleepingComputer“, kad kliento inicijavimo atakos paprastai vykdomos siekiant sunaudoti išteklius, todėl įrenginiui gali būti suteikta paslaugų atsisakymo būsena.

Norėdami įjungti šias naujas funkcijas, turite naudoti palaikomą Cisco ASA ir FTD versiją, kurios yra išvardytos toliau:

ASA programinė įranga:

  • 9.16 versijos traukinys -> palaikoma iš 9.16(4)67 ir naujesnės versijos šiame konkrečiame traukinyje.
  • 9.17 versijos traukinys -> palaikoma iš 9.17(1)45 ir naujesnės versijos šiame konkrečiame traukinyje.
  • 9.18 versijos traukinys -> palaikoma iš 9.18(4)40 ir naujesnės versijos šiame konkrečiame traukinyje.
  • 9.19 versijos traukinys -> palaikoma iš 9.19(1).37 ir naujesnės versijos šiame konkrečiame traukinyje.
  • 9.20 versijos traukinys -> palaikoma iš 9.20 (3) ir naujesnės versijos šiame konkrečiame traukinyje.
  • 9.22 versijos traukinys -> palaikoma iš 9,22 (1,1) ir bet kokios naujesnės versijos.

FTD programinė įranga:

  • 7.0 versijos traukinys -> palaikoma iš 7.0.6.3 ir naujesnės versijos šiame konkrečiame traukinyje.
  • 7.2 versijos traukinys -> palaikoma iš 7.2.9 ir naujesnė versija šiame konkrečiame traukinyje.
  • 7.4 versijos traukinys -> palaikoma iš 7.4.2.1 ir naujesnė versija šiame konkrečiame traukinyje.
  • 7.6 versijos traukinys -> palaikoma iš 7.6.0 ir bet kokios naujesnės versijos.

Jei naudojate palaikymo programinės įrangos versiją, galite naudoti šias komandas, kad įgalintumėte naujas funkcijas.

Kad grėsmės veikėjai nebandytų prisijungti prie įmontuotų tunelių grupių, prie kurių paprastai nereikia prisijungti, įveskite šią komandą:


threat-detection service invalid-vpn-access

Norėdami išvengti pakartotinių bandymų iš to paties IP adreso inicijuoti autentifikavimo užklausą RAVPN paslaugai, bet niekada jos neužbaigti, naudokite šią komandą:


threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>

Galiausiai, norėdami išvengti pakartotinių autentifikavimo užklausų iš to paties IP adreso, naudokite šią komandą:


threat-detection service remote-access-authentication hold-down <minutes> threshold <count>

Tiek už nuotolinės prieigos-kliento iniciacijos ir nuotolinės prieigos-autentifikavimas funkcijos, minučių ir skaičiaus kintamieji turi šiuos apibrėžimus:

  • palaikymas apibrėžia laikotarpį po paskutinio inicijavimo bandymo, per kurį skaičiuojami iš eilės bandymai prisijungti. Jei per šį laikotarpį nuoseklių bandymų prisijungti skaičius pasiekia sukonfigūruotą slenkstį, užpuoliko IPv4 adresas yra atmetamas. Galite nustatyti šį laikotarpį nuo 1 iki 1440 minučių.
  • slenkstis yra bandymų prisijungti skaičius, kurio reikia per sulaikymo laikotarpį, kad būtų suaktyvintas vengimas. Galite nustatyti slenkstį nuo 5 iki 100.

Jei IP adresai per nustatytą laikotarpį pateikia per daug prisijungimo arba autentifikavimo užklausų, Cisco ASA ir FTD programinė įranga vengs arba blokuos IP adresą neribotą laiką, kol rankiniu būdu jį pašalinsite naudodami šią komandą:


no shun source_ip ( vlan vlan_id)

„Cisco ASA“ administratorius pasidalino scenarijumi, kuris gali automatiškai pašalinti visus pašalintus IP adresus kas septynias dienas „Reddit“.

„Cisco“ bendrinamos visos konfigūracijos, kuri įgalina visas tris funkcijas, pavyzdys:


threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

„Reddit“ administratorius taip pat pažymėjo, kad kliento inicijavimo apsauga sukėlė kai kurių klaidingų teigiamų rezultatų jų aplinkoje, tačiau veikė geriau, kai grįžo į numatytuosius nustatymus palaikykite 10 ir slenkstis 20.

Kai „BleepingComputer“ paklausė, ar yra kokių nors minusų naudojant šias funkcijas, jei įjungtas RAVPN, jie pasakė, kad tai gali turėti įtakos našumui.

„Nėra tikėtino „neigiamo poveikio“, tačiau įjungus naujas funkcijas, pagrįstas esama įrenginio konfigūracija ir srauto apkrova, galimas poveikis našumui“, – „BleepingComputer“ sakė Cisco.

Apskritai, jei esate nukreiptas į grėsmių veikėjus, bandančius brutaliomis jėgomis priversti jūsų VPN paskyras, primygtinai rekomenduojama įjungti šias funkcijas, kad sumažintumėte šias atakas, nes pažeisti VPN kredencialai dažniausiai naudojami siekiant pažeisti tinklus dėl išpirkos reikalaujančių atakų.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -