Cisco warnt vor Password Spraying Attacken auf VPNs wie AnyConnect
Am 26. März 2024 hat Cisco die Gefahr über Password-Spray-Angriffe auf Remote Access VPN (RAVPN)-Dienste hingewiesen, nachdem mehrfach Administratoren darüber Bericht erstattet haben. Diese Angriffe sind nicht nur auf Cisco-Produkte beschränkt, sondern betreffen auch VPN-Produkte von Drittanbietern. Solche Attacken können zu einer Kontosperrung führen und somit Dienstausfall-ähnliche Zustände verursachen.
Die Angriffe scheinen Teil von Aufklärungsbemühungen zu sein und können dazu führen, dass VPN-Verbindungen mit dem Cisco Secure Client (AnyConnect) bei aktivierter Firewall-Haltung (HostScan) nicht hergestellt werden können. Die ungewöhnlich hohe Zahl an Authentifizierungsanfragen bei den VPN-Endpunkten Cisco Secure Firewall Adaptive Security Appliance (ASA) oder Threat Defense (FTD) deutet auf Password-Spray-Angriffe hin.
Um diesen Angriffen entgegenzuwirken, empfiehlt Cisco verschiedene Maßnahmen:
- Aktivierung der Protokollierung: Die Protokollierung von Systemereignissen ist ein kritischer Aspekt der Cybersicherheit. Cisco empfiehlt, die Protokollierung auf einem entfernten Syslog-Server zu aktivieren, um eine bessere Korrelation und Überwachung von Netzwerk- und Sicherheitsvorfällen zu ermöglichen.
- Sichern von standardmäßigen Remote Access VPN-Profilen: Wenn die Standardverbindungsprofile/tunnel groups DefaultRAGroup und DefaultWEBVPNGroup nicht genutzt werden, sollte man sie durch eine Zuweisung zu einem Sinkhole-AAA-Server vor unautorisierten Authentifizierungsversuchen schützen.
- Nutzung von TCP Shun: Diese Methode ermöglicht es, eine bösartige IP zu blockieren, muss jedoch manuell durchgeführt werden.
- Konfigurieren einer Control-Plane-ACL: Implementierung einer Control-Plane-ACL auf der ASA/FTD, um nicht autorisierte öffentliche IP-Adressen zu filtern und die Initiierung von Remote-VPN-Sitzungen zu verhindern.
- Verwendung von zertifikatbasierter Authentifizierung für RAVPN: Die Verwendung von Zertifikaten für die Authentifizierung bietet einen robusteren Ansatz als die Verwendung von Anmeldeinformationen.
Diese Empfehlungen richten sich an alle Betreiber von Cisco Secure Firewall-Geräten und sind auch auf Produkte anderer Hersteller anwendbar, um die Auswirkungen von Password-Spray-Angriffen zu minimieren.