Cisco warnt vor Password Spraying Attacken auf VPNs wie AnyConnect

Am 26. März 2024 hat Cisco die Gefahr über Password-Spray-Angriffe auf Remote Access VPN (RAVPN)-Dienste hingewiesen, nachdem mehrfach Administratoren darüber Bericht erstattet haben. Diese Angriffe sind nicht nur auf Cisco-Produkte beschränkt, sondern betreffen auch VPN-Produkte von Drittanbietern. Solche Attacken können zu einer Kontosperrung führen und somit Dienstausfall-ähnliche Zustände verursachen.

Die Angriffe scheinen Teil von Aufklärungsbemühungen zu sein und können dazu führen, dass VPN-Verbindungen mit dem Cisco Secure Client (AnyConnect) bei aktivierter Firewall-Haltung (HostScan) nicht hergestellt werden können. Die ungewöhnlich hohe Zahl an Authentifizierungsanfragen bei den VPN-Endpunkten Cisco Secure Firewall Adaptive Security Appliance (ASA) oder Threat Defense (FTD) deutet auf Password-Spray-Angriffe hin.

Um diesen Angriffen entgegenzuwirken, empfiehlt Cisco verschiedene Maßnahmen:

  1. Aktivierung der Protokollierung: Die Protokollierung von Systemereignissen ist ein kritischer Aspekt der Cybersicherheit. Cisco empfiehlt, die Protokollierung auf einem entfernten Syslog-Server zu aktivieren, um eine bessere Korrelation und Überwachung von Netzwerk- und Sicherheitsvorfällen zu ermöglichen.
  2. Sichern von standardmäßigen Remote Access VPN-Profilen: Wenn die Standardverbindungsprofile/tunnel groups DefaultRAGroup und DefaultWEBVPNGroup nicht genutzt werden, sollte man sie durch eine Zuweisung zu einem Sinkhole-AAA-Server vor unautorisierten Authentifizierungsversuchen schützen.
  3. Nutzung von TCP Shun: Diese Methode ermöglicht es, eine bösartige IP zu blockieren, muss jedoch manuell durchgeführt werden.
  4. Konfigurieren einer Control-Plane-ACL: Implementierung einer Control-Plane-ACL auf der ASA/FTD, um nicht autorisierte öffentliche IP-Adressen zu filtern und die Initiierung von Remote-VPN-Sitzungen zu verhindern.
  5. Verwendung von zertifikatbasierter Authentifizierung für RAVPN: Die Verwendung von Zertifikaten für die Authentifizierung bietet einen robusteren Ansatz als die Verwendung von Anmeldeinformationen.

Diese Empfehlungen richten sich an alle Betreiber von Cisco Secure Firewall-Geräten und sind auch auf Produkte anderer Hersteller anwendbar, um die Auswirkungen von Password-Spray-Angriffen zu minimieren.

Related Posts

Kripo Kleve nimmt Phising Betrüger fest

Kreis Kleve, 27. März 2024 – Die Kriminalpolizei Kleve hat in Zusammenarbeit mit dem SEK Brandenburg einen 28-jährigen deutschen Staatsbürger festgenommen, der im Verdacht steht, ein bundesweit agierender Phishing Betrüger zu sein. Die Festnahme erfolgte nach intensiven Ermittlungen, die ihren Ursprung in einer Serie von Betrugsfällen nahmen, bei denen Opfer bundesweit durch geschickte Täuschungen erhebliche finanzielle Verluste erlitten.

Read More

Kostenlose Android VPN-Apps missbrauchen Geräte für Proxy-Netzwerke

Das Satori Threat Intelligence-Team hat eine Gruppe von 28 VPN-Apps im Google Play Store identifiziert, die unbemerkt die Geräte der Benutzer in Proxy-Knoten verwandeln. Die Proxy-Netzwerke lassen sich dann nutzen, um ihre Aktivitäten zu verschleiern. Die betreffenden Apps nutzen alle PROXYLIB, eine Golang-Bibliothek, die für die Einbindung der Geräte in das Proxy-Netzwerk verantwortlich ist.

Read More

Kritische Sicherheitslücke im File Manager Plugin für WordPress entdeckt

Am 15.3.24 wurde eine kritische Schwachstelle im Wordpress File Manager Plugin bekannt, welche einen Cross-Site Request Forgery (CSRF) ermöglicht . Diese Schwachstelle CVE-2024-1538 wird mit einem hohen CVSS-Score von 8.8 bewertet und betrifft Millonen von Wordpress Seiten.

Read More