A Cisco introduziu novas funcionalidades de segurança que ajudam a mitigar de forma significativa ataques de força bruta e spray de senhas em seus dispositivos ASA (Adaptive Security Appliance) e Firepower Threat Defense (FTD), protegendo as redes contra invasões e otimizando o uso de recursos.
Entendendo os Ataques de Força Bruta e Spray de Senhas
Embora os ataques de força bruta e spray de senhas tenham o mesmo objetivo de obter acesso não autorizado a contas online, eles diferem em sua abordagem. No caso do spray de senhas, o atacante tenta utilizar a mesma senha em múltiplas contas simultaneamente, buscando evitar a detecção. Por outro lado, os ataques de força bruta focam em uma única conta, testando diversas senhas até encontrar a correta.
Contexto dos Ataques
Em abril, a Cisco revelou que hackers estavam realizando ataques maciços de força bruta contra contas VPN em diversos dispositivos de rede, incluindo marcas como Checkpoint, Fortinet, SonicWall e Ubiquiti. A empresa alertou que esses ataques poderiam resultar em acessos não autorizados, bloqueios de conta e até mesmo estados de negação de serviço, dependendo do ambiente afetado.
Esses ataques levaram a Cisco a identificar e corrigir uma vulnerabilidade de Denial of Service, identificada como CVE-2024-20481, que esgotava os recursos dos dispositivos ASA e FTD.
Novos Recursos de Proteção Contra Ataques de Força Bruta
Após os incidentes em abril, a Cisco lançou novas capacidades de detecção de ameaças em seus dispositivos ASA e FTD, que reduzem consideravelmente os impactos de ataques de força bruta e spray de senhas. Embora esses recursos estivessem disponíveis para algumas versões de software desde junho, sua implementação em todas as versões se deu apenas neste mês.
Infelizmente, muitos administradores da Cisco ainda não estavam cientes dessas novas funcionalidades. No entanto, aqueles que as ativaram relataram uma queda significativa nos ataques de força bruta, com um administrador compartilhando no Reddit: “Funcionou tão bem que as falhas horárias de 500K caíram para 170 durante a noite!”
Tipos de Ataques Bloqueados
As novas funcionalidades fazem parte do serviço de detecção de ameaças e bloqueiam os seguintes tipos de ataques:
- Tentativas de autenticação falhadas repetidas em serviços VPN de acesso remoto (escaneamento de nomes de usuário/senhas).
- Ataques de iniciação de clientes, onde o atacante inicia, mas não completa, tentativas de conexão com uma VPN.
- Tentativas de conexão a serviços VPN inválidos, que são grupos de túneis internos que não devem ser acessados por usuários legítimos.
Como Ativar os Novos Recursos
Para ativar essas novas funcionalidades, é necessário estar utilizando uma versão suportada do software Cisco ASA e FTD, listadas a seguir:
Software ASA:
- Versão 9.16: suportada a partir de 9.16(4)67 e versões mais novas.
- Versão 9.17: suportada a partir de 9.17(1)45 e versões mais novas.
- Versão 9.18: suportada a partir de 9.18(4)40 e versões mais novas.
- Versão 9.19: suportada a partir de 9.19(1).37 e versões mais novas.
- Versão 9.20: suportada a partir de 9.20(3) e versões mais novas.
- Versão 9.22: suportada a partir de 9.22(1.1) e versões mais novas.
Notícias Relacionadas
Segurança digital
Ford investiga vazamento de dados de clientes em fórum hacker
Ford investiga vazamento de 44.000 registros de clientes em fórum hacker. Dados incluem informações pessoais e podem ser usados em ataques de phishing.
Privacidade online
Brave no iOS adiciona novo botão "Shred" para apagar dados específicos de sites
O novo botão "Shred" no Brave para iOS permite apagar dados específicos de sites sem afetar outros. Saiba como proteger sua privacidade com essa funcionalidade.
Software FTD:
- Versão 7.0: suportada a partir de 7.0.6.3 e versões mais novas.
- Versão 7.2: suportada a partir de 7.2.9 e versões mais novas.
- Versão 7.4: suportada a partir de 7.4.2.1 e versões mais novas.
- Versão 7.6: suportada a partir de 7.6.0 e versões mais novas.
Para habilitar as novas funcionalidades, utilize os seguintes comandos:
- Para bloquear tentativas de conexão a grupos de túneis inválidos:
threat-detection service invalid-vpn-access- Para bloquear tentativas repetidas de autenticação sem conclusão:
threat-detection service remote-access-client-initiations hold-down <minutos> threshold <contagem>- Para bloquear tentativas de autenticação repetidas:
threat-detection service remote-access-authentication hold-down <minutos> threshold <contagem>Definições dos Comandos
Nos comandos, hold-down define o período após a última tentativa de conexão, enquanto threshold é o número de tentativas necessárias para ativar um bloqueio. Ambos podem ser configurados conforme necessário.
Se um endereço IP exceder o limite de tentativas, o software Cisco ASA e FTD bloqueará o IP indefinidamente, a menos que seja removido manualmente.
Um administrador da Cisco compartilhou um script no Reddit que remove automaticamente todos os IPs bloqueados a cada sete dias.
Considerações Finais
Embora um administrador tenha mencionado que as proteções contra iniciação de clientes geraram alguns falsos positivos, elas apresentaram melhor desempenho após a restauração das configurações padrão. A Cisco alertou que, embora não haja “desvantagens” esperadas, o impacto no desempenho pode variar conforme a configuração do dispositivo e a carga de tráfego.
Recomenda-se fortemente que, se sua organização está sendo alvo de ataques de força bruta a contas VPN, você ative essas novas funcionalidades para ajudar a mitigar tais ameaças. O uso de credenciais de VPN comprometidas é uma prática comum em ataques de ransomware.
