Am 26. März 2024 hat Cisco die Gefahr über Password-Spray-Angriffe auf Remote Access VPN (RAVPN)-Dienste hingewiesen, nachdem mehrfach Administratoren darüber Bericht erstattet haben. Diese Angriffe sind nicht nur auf Cisco-Produkte beschränkt, sondern betreffen auch VPN-Produkte von Drittanbietern. Solche Attacken können zu einer Kontosperrung führen und somit Dienstausfall-ähnliche Zustände verursachen.
Die Angriffe scheinen Teil von Aufklärungsbemühungen zu sein und können dazu führen, dass VPN-Verbindungen mit dem Cisco Secure Client (AnyConnect) bei aktivierter Firewall-Haltung (HostScan) nicht hergestellt werden können. Die ungewöhnlich hohe Zahl an Authentifizierungsanfragen bei den VPN-Endpunkten Cisco Secure Firewall Adaptive Security Appliance (ASA) oder Threat Defense (FTD) deutet auf Password-Spray-Angriffe hin.
Um diesen Angriffen entgegenzuwirken, empfiehlt Cisco verschiedene Maßnahmen:
- Aktivierung der Protokollierung: Die Protokollierung von Systemereignissen ist ein kritischer Aspekt der Cybersicherheit. Cisco empfiehlt, die Protokollierung auf einem entfernten Syslog-Server zu aktivieren, um eine bessere Korrelation und Überwachung von Netzwerk- und Sicherheitsvorfällen zu ermöglichen.
- Sichern von standardmäßigen Remote Access VPN-Profilen: Wenn die Standardverbindungsprofile/tunnel groups DefaultRAGroup und DefaultWEBVPNGroup nicht genutzt werden, sollte man sie durch eine Zuweisung zu einem Sinkhole-AAA-Server vor unautorisierten Authentifizierungsversuchen schützen.
- Nutzung von TCP Shun: Diese Methode ermöglicht es, eine bösartige IP zu blockieren, muss jedoch manuell durchgeführt werden.
- Konfigurieren einer Control-Plane-ACL: Implementierung einer Control-Plane-ACL auf der ASA/FTD, um nicht autorisierte öffentliche IP-Adressen zu filtern und die Initiierung von Remote-VPN-Sitzungen zu verhindern.
- Verwendung von zertifikatbasierter Authentifizierung für RAVPN: Die Verwendung von Zertifikaten für die Authentifizierung bietet einen robusteren Ansatz als die Verwendung von Anmeldeinformationen.
Diese Empfehlungen richten sich an alle Betreiber von Cisco Secure Firewall-Geräten und sind auch auf Produkte anderer Hersteller anwendbar, um die Auswirkungen von Password-Spray-Angriffen zu minimieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: