Segurança de VPN

Novo recurso da Cisco combate ataques de força bruta em VPNs

A Cisco introduziu funcionalidades que protegem ASA e FTD contra ataques de força bruta em VPNs, otimizando o uso de recursos e melhorando a segurança.

Linux Foundation cria consórcio Ultra Ethernet com Cisco, Microsoft e AMD
Linux Foundation cria consórcio Ultra Ethernet com Cisco, Microsoft e AMD

A Cisco introduziu novas funcionalidades de segurança que ajudam a mitigar de forma significativa ataques de força bruta e spray de senhas em seus dispositivos ASA (Adaptive Security Appliance) e Firepower Threat Defense (FTD), protegendo as redes contra invasões e otimizando o uso de recursos.

Entendendo os Ataques de Força Bruta e Spray de Senhas

Embora os ataques de força bruta e spray de senhas tenham o mesmo objetivo de obter acesso não autorizado a contas online, eles diferem em sua abordagem. No caso do spray de senhas, o atacante tenta utilizar a mesma senha em múltiplas contas simultaneamente, buscando evitar a detecção. Por outro lado, os ataques de força bruta focam em uma única conta, testando diversas senhas até encontrar a correta.

Contexto dos Ataques

Em abril, a Cisco revelou que hackers estavam realizando ataques maciços de força bruta contra contas VPN em diversos dispositivos de rede, incluindo marcas como Checkpoint, Fortinet, SonicWall e Ubiquiti. A empresa alertou que esses ataques poderiam resultar em acessos não autorizados, bloqueios de conta e até mesmo estados de negação de serviço, dependendo do ambiente afetado.

Esses ataques levaram a Cisco a identificar e corrigir uma vulnerabilidade de Denial of Service, identificada como CVE-2024-20481, que esgotava os recursos dos dispositivos ASA e FTD.

Novos Recursos de Proteção Contra Ataques de Força Bruta

falha-no-software-cisco-asyncos-permite-ataque-xss

Após os incidentes em abril, a Cisco lançou novas capacidades de detecção de ameaças em seus dispositivos ASA e FTD, que reduzem consideravelmente os impactos de ataques de força bruta e spray de senhas. Embora esses recursos estivessem disponíveis para algumas versões de software desde junho, sua implementação em todas as versões se deu apenas neste mês.

Infelizmente, muitos administradores da Cisco ainda não estavam cientes dessas novas funcionalidades. No entanto, aqueles que as ativaram relataram uma queda significativa nos ataques de força bruta, com um administrador compartilhando no Reddit: “Funcionou tão bem que as falhas horárias de 500K caíram para 170 durante a noite!”

Tipos de Ataques Bloqueados

As novas funcionalidades fazem parte do serviço de detecção de ameaças e bloqueiam os seguintes tipos de ataques:

  • Tentativas de autenticação falhadas repetidas em serviços VPN de acesso remoto (escaneamento de nomes de usuário/senhas).
  • Ataques de iniciação de clientes, onde o atacante inicia, mas não completa, tentativas de conexão com uma VPN.
  • Tentativas de conexão a serviços VPN inválidos, que são grupos de túneis internos que não devem ser acessados por usuários legítimos.

Como Ativar os Novos Recursos

Para ativar essas novas funcionalidades, é necessário estar utilizando uma versão suportada do software Cisco ASA e FTD, listadas a seguir:

Software ASA:

  • Versão 9.16: suportada a partir de 9.16(4)67 e versões mais novas.
  • Versão 9.17: suportada a partir de 9.17(1)45 e versões mais novas.
  • Versão 9.18: suportada a partir de 9.18(4)40 e versões mais novas.
  • Versão 9.19: suportada a partir de 9.19(1).37 e versões mais novas.
  • Versão 9.20: suportada a partir de 9.20(3) e versões mais novas.
  • Versão 9.22: suportada a partir de 9.22(1.1) e versões mais novas.

Software FTD:

  • Versão 7.0: suportada a partir de 7.0.6.3 e versões mais novas.
  • Versão 7.2: suportada a partir de 7.2.9 e versões mais novas.
  • Versão 7.4: suportada a partir de 7.4.2.1 e versões mais novas.
  • Versão 7.6: suportada a partir de 7.6.0 e versões mais novas.

Para habilitar as novas funcionalidades, utilize os seguintes comandos:

  • Para bloquear tentativas de conexão a grupos de túneis inválidos:
threat-detection service invalid-vpn-access
  • Para bloquear tentativas repetidas de autenticação sem conclusão:
threat-detection service remote-access-client-initiations hold-down <minutos> threshold <contagem>
  • Para bloquear tentativas de autenticação repetidas:
threat-detection service remote-access-authentication hold-down <minutos> threshold <contagem>

Definições dos Comandos

Nos comandos, hold-down define o período após a última tentativa de conexão, enquanto threshold é o número de tentativas necessárias para ativar um bloqueio. Ambos podem ser configurados conforme necessário.

Se um endereço IP exceder o limite de tentativas, o software Cisco ASA e FTD bloqueará o IP indefinidamente, a menos que seja removido manualmente.

Um administrador da Cisco compartilhou um script no Reddit que remove automaticamente todos os IPs bloqueados a cada sete dias.

Considerações Finais

Embora um administrador tenha mencionado que as proteções contra iniciação de clientes geraram alguns falsos positivos, elas apresentaram melhor desempenho após a restauração das configurações padrão. A Cisco alertou que, embora não haja “desvantagens” esperadas, o impacto no desempenho pode variar conforme a configuração do dispositivo e a carga de tráfego.

Recomenda-se fortemente que, se sua organização está sendo alvo de ataques de força bruta a contas VPN, você ative essas novas funcionalidades para ajudar a mitigar tais ameaças. O uso de credenciais de VPN comprometidas é uma prática comum em ataques de ransomware.

Acesse a versão completa
Sair da versão mobile