Skip to main content

Las nuevas funciones de Cisco ASA y FTD bloquean los ataques de contraseña de fuerza bruta de VPN

octubre 28, 2024


Cisco ha agregado nuevas funciones de seguridad que mitigan significativamente los ataques de fuerza bruta y de pulverización de contraseñas en Cisco ASA y Firepower Threat Defense (FTD), lo que ayuda a proteger la red contra infracciones y reduce la utilización de recursos en los dispositivos.

Los ataques de pulverización de contraseñas y de fuerza bruta son similares en el sentido de que ambos intentan obtener acceso no autorizado a una cuenta en línea adivinando una contraseña.

Sin embargo, los ataques de pulverización de contraseñas intentarán utilizar simultáneamente las mismas contraseñas en varias cuentas para evadir las defensas. Por el contrario, los ataques de fuerza bruta se dirigen repetidamente a una sola cuenta con diferentes intentos de contraseña.

En abril, Cisco reveló que los actores de amenazas estaban realizando ataques masivos de fuerza bruta contra cuentas VPN en una variedad de dispositivos de red, incluidos los de Cisco, Checkpoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek y Ubiquiti.

Cisco advirtió que los ataques exitosos podrían provocar acceso no autorizado, bloqueos de cuentas y estados de denegación de servicio según el entorno objetivo.

Estos ataques permitieron a Cisco descubrir y solucionar una vulnerabilidad de denegación de serviciorastreado como CVE-2024-20481, que agotó los recursos en dispositivos Cisco ASA y FTD cuando fueron afectados por este tipo de ataques.

Nuevas funciones de protección contra ataques de fuerza bruta de VPN

Después de sufrir los ataques de abril, Cisco lanzó nuevas capacidades de detección de amenazas en CiscoASA y Defensa contra amenazas de firewall (FTD) que reducen significativamente el impacto de los ataques de fuerza bruta y de pulverización de contraseñas.

Si bien estas funciones han estado disponibles para algunas versiones de software desde junio, no estuvieron disponibles para todas las versiones hasta este mes.

Desafortunadamente, cuando hablaron con algunos administradores de Cisco, desconocían estas nuevas funciones. Sin embargo, aquellos que sí lo hicieron informaron de un éxito significativo en la mitigación de los ataques de fuerza bruta de VPN cuando las funciones están habilitadas.

«¡Funcionó tan mágicamente que las fallas de 500 mil por hora se redujeron a 170! ¡Anoche!», compartió un administrador de Cisco en Reddit.

Estas nuevas funciones forman parte del servicio de detección de amenazas y bloquean los siguientes tipos de ataques:

  • Intentos de autenticación fallidos repetidos para acceder remotamente a servicios VPN (ataques de fuerza bruta de escaneo de nombre de usuario/contraseña).

  • Ataques de iniciación de clientesdonde el atacante inicia pero no completa los intentos de conexión a una cabecera VPN de acceso remoto repetidas veces desde un solo host.

  • Intentos de conexión a servicios VPN de acceso remoto no válidos. Es decir, cuando los atacantes intentan conectarse a grupos de túneles integrados específicos destinados únicamente al funcionamiento interno del dispositivo. Los puntos finales legítimos nunca deben intentar conectarse a estos grupos de túneles.

Cisco le dijo a BleepingComputer que los ataques de iniciación del cliente generalmente se realizan para consumir recursos, lo que podría poner al dispositivo en un estado de denegación de servicio.

Para habilitar estas nuevas funciones, debe ejecutar una versión compatible de Cisco ASA y FTD, que se enumeran a continuación:

Software ASA:

  • tren versión 9.16 -> apoyado desde 9.16(4)67 y versiones más nuevas dentro de este tren específico.

  • tren versión 9.17 -> apoyado desde 9.17(1)45 y versiones más nuevas dentro de este tren específico.

  • tren versión 9.18 -> apoyado desde 9.18(4)40 y versiones más nuevas dentro de este tren específico.

  • tren versión 9.19 -> apoyado desde 9.19(1).37 y versiones más nuevas dentro de este tren específico.

  • tren versión 9.20 -> apoyado desde 9.20(3) y versiones más nuevas dentro de este tren específico.

  • tren versión 9.22 -> apoyado desde 9.22(1.1) y cualquier versión más nueva.

Software FTD:

  • tren versión 7.0 -> apoyado desde 7.0.6.3 y versiones más nuevas dentro de este tren específico.

  • tren versión 7.2 -> apoyado desde 7.2.9 y una versión más nueva dentro de este tren específico.

  • tren versión 7.4 -> apoyado desde 7.4.2.1 y una versión más nueva dentro de este tren específico.

  • tren versión 7.6 -> apoyado desde 7.6.0 y cualquier versión más nueva.

Si está ejecutando una versión de software de soporte, puede utilizar los siguientes comandos para habilitar las nuevas funciones.

Para evitar que los actores de amenazas intenten conectarse a grupos de túneles integrados a los que normalmente no deben conectarse, ingrese este comando:


threat-detection service invalid-vpn-access

Para evitar intentos repetidos desde la misma dirección IP de iniciar una solicitud de autenticación al servicio RAVPN pero nunca completarla, use este comando:


threat-detection service remote-access-client-initiations hold-down  threshold

Finalmente, para evitar solicitudes repetidas de autenticación desde la misma dirección IP, usaría este comando:


threat-detection service remote-access-authentication hold-down  threshold

tanto para el iniciaciones-de-cliente-de-acceso-remoto y autenticación de acceso remoto características, las variables minutos y conteo tienen las siguientes definiciones:

  • mantener presionado define el período después del último intento de inicio durante el cual se cuentan los intentos de conexión consecutivos. Si el número de intentos de conexión consecutivos alcanza el umbral configurado dentro de este período, se evita la dirección IPv4 del atacante. Puede establecer este período entre 1 y 1440 minutos.

  • límite es el número de intentos de conexión necesarios dentro del período de espera para activar un rechazo. Puede establecer el umbral entre 5 y 100.

Si las direcciones IP realizan demasiadas solicitudes de conexión o autenticación en el período definido, entonces el software Cisco ASA y FTD rehuiro bloquear, la dirección IP indefinidamente hasta que la elimine manualmente usando el siguiente comando:


no shun source_ip [ vlan vlan_id]

Un administrador de Cisco ASA compartió un script que puede eliminar automáticamente todas las direcciones IP rechazadas cada siete días en Reddit.

Un ejemplo de una configuración completa compartida por Cisco que habilita las tres funciones es:


threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

Un administrador de Reddit señaló además que las protecciones de inicio del cliente causaron algunos falsos positivos en su entorno, pero funcionaron mejor después de volver a los valores predeterminados de mantener presionado 10 y umbral 20.

Cuando BleepingComputer preguntó si hay alguna desventaja en utilizar estas funciones si RAVPN está habilitado, dijeron que podría haber un impacto potencial en el rendimiento.

«No se espera ningún» inconveniente «, pero puede existir un impacto potencial en el rendimiento al habilitar nuevas funciones basadas en la configuración del dispositivo existente y la carga de tráfico», dijo Cisco a BleepingComputer.

En general, si fue atacado por actores de amenazas que intentan forzar sus cuentas VPN con fuerza bruta, se recomienda encarecidamente que habilite estas funciones para mitigar estos ataques, ya que las credenciales VPN comprometidas están comprometidas. comúnmente utilizado para violar redes y realizar ataques de ransomware.



Source link

Translate »