Cisco a adăugat noi caracteristici de securitate care reduc semnificativ atacurile de forță brută și de pulverizare a parolelor asupra dispozitivelor Cisco ASA și Firepower Threat Defense (FTD), ajutând la protejarea rețelei împotriva încălcărilor și reducând utilizarea resurselor pe dispozitive.
Atacurile de pulverizare a parolelor și de forță brută sunt similare în sensul că ambele încearcă să obțină acces neautorizat la un cont online prin ghicirea unei parole.
În aprilie, Cisco a avertizat că actorii de amenințare desfășurau atacuri masive de forță brută împotriva conturilor VPN pe o varietate de dispozitive de rețea, inclusiv cele de la Cisco, Checkpoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek și Ubiquiti.
Atacurile au permis Cisco să descopere și să remedieze o vulnerabilitate de Denial of Service, urmărită ca CVE-2024-20481, care epuiza resursele dispozitivelor Cisco ASA și FTD atunci când erau lovite de aceste tipuri de atacuri.
După ce au fost lovite de atacuri în aprilie, Cisco a lansat noi capabilități de detectare a amenințărilor în Cisco ASA și Firewall Threat Defense (FTD) care reduc semnificativ impactul atacurilor de forță brută și de pulverizare a parolelor.
Aceste caracteristici noi fac parte din serviciul de detectare a amenințărilor și blochează următoarele tipuri de atacuri:
Pentru a activa aceste caracteristici noi, trebuie să rulați o versiune acceptată de software Cisco ASA și FTD.
Dacă rulezi o versiune de software acceptată, poți folosi comenzile respective pentru a activa noile caracteristici.
Pentru a preveni încercările repetate de la același adresă IP de a iniția o solicitare de autentificare la serviciul RAVPN, poți folosi această comandă.
Pentru a preveni cererile repetate de autentificare de la aceeași adresă IP, poți folosi această comandă.
Dacă adresele IP fac prea multe cereri de conexiune sau autentificare în perioada definită, atunci software-ul Cisco ASA și FTD va bloca adresa IP până când o elimini manual folosind comanda respectivă.
Un admin Cisco ASA a distribuit un script care poate elimina automat toate adresele IP blocate la fiecare șapte zile pe Reddit.
O configurație completă oferită de Cisco care activează toate cele trei caracteristici este următoarea.
Un admin de pe Reddit a remarcat că protecțiile pentru inițierea clientului au cauzat unele alarme false în mediul lor, dar s-au comportat mai bine după ce au revenit la setările implicite de reținere 10 și prag 20.
Când BleepingComputer a întrebat dacă există vreun dezavantaj în utilizarea acestor caracteristici dacă RAVPN este activat, au declarat că ar putea exista un impact potențial asupra performanței.
În general, dacă ești vizat de actorii de amenințare care încearcă să forțeze conturile tale VPN, este foarte recomandat să activezi aceste caracteristici pentru a reduce aceste atacuri.
Înțelege aceste șapte atacuri de parole și cum să le oprești.
Leave a Reply