Cisco

シスコは、Cisco ASAとFirepower Threat Defense(FTD)に、ブルートフォース攻撃とパスワードスプレー攻撃を大幅に軽減する新しいセキュリティ機能を追加し、侵害からネットワークを保護し、デバイスのリソース使用量を削減するのに役立ちます。

パスワードスプレー攻撃とブルートフォース攻撃は、どちらもパスワードを推測してオンラインアカウントへの不正アクセスを試みるという点で似ています。

しかし、パスワード・スプレー攻撃は、防御を回避するために、複数のアカウントで同じパスワードを同時に使用しようとします。これに対し、ブルートフォース攻撃は、1つのアカウントに対して異なるパスワードの試行を繰り返します。

Cisco社は4月、脅威者がCisco社、Checkpoint社、Fortinet社、SonicWall社、RD Web Services社、Miktrotik社、Draytek社、Ubiquiti社など、さまざまなネットワーク機器のVPNアカウントに対して大規模なブルートフォース攻撃を行っていることを明らかにした。

シスコは、攻撃が成功した場合、対象となる環境によっては、不正アクセス、アカウントのロックアウト、サービス拒否状態に陥る可能性があると警告している。

これらの攻撃により、Cisco は CVE-2024-20481 として追跡されているサービス拒否の脆弱性を発見し、修正しました。

新しいVPNブルートフォース攻撃保護機能

4月に攻撃を受けた後、CiscoはCisco ASAと Firewall Threat Defense(FTD)に、ブルートフォース攻撃とパスワードスプレー攻撃の影響を大幅に軽減する新しい脅威検出機能をリリースしました。

これらの機能は、一部のソフトウェア・バージョンでは6月から利用可能になっていたが、すべてのバージョンで利用可能になったのは今月に入ってからだった。

残念ながら、何人かのシスコ社の管理者と話したところ、彼らはこれらの新機能を知らなかった。しかし、この機能を有効にした場合、VPNのブルートフォース攻撃の軽減に大きな効果があったと報告している。

「魔法のようにうまくいったので、1時間ごとの500Kの失敗が昨夜のうちに170に減りました!」と、あるCiscoの管理者はRedditでシェアした。

これらの新機能は脅威検知サービスの一部であり、以下のタイプの攻撃をブロックする:

  • リモートアクセスVPNサービスに対する認証失敗の繰り返し (ブルートフォース・ユーザー名/パスワード・スキャニング攻撃)。
  • 攻撃者が単一のホストからリモートアクセスVPNヘッドエンドへの接続試行を何度も開始するが、完了しないクライアント開始攻撃
  • 無効なリモートアクセス VPN サービスへの接続試行。つまり、攻撃者がデバイスの内部機能のみを目的とした特定の組み込みトンネル・グループへの接続を試みる場合。正規のエンドポイントは、このようなトンネル・グループへの接続を試みてはならない。

Ciscoは、クライアント開始攻撃は通常リソースを消費するために行われ、デバイスをサービス拒否状態にする可能性があると述べている。

これらの新機能を有効にするには、サポートされているバージョンの Cisco ASA および FTD を実行している必要があります:

ASA ソフトウェア:

  • 9.16 バージョントレイン->9.16(4)67からサポートされ、この特定のトレイン内の新しいバージョン。
  • 9.17 バージョントレイン-> 9.17(1)45以降をサポート。
  • 9.18 version train->9.18(4)40およびそれ以降のバージョンでサポートされています。
  • 9.19 version train->9.19(1).37およびそれ以降のバージョンでサポートされています。
  • 9.20 version train->9.20(3)以降のバージョンでサポート。
  • 9.22 version train->9.22(1.1)およびそれ以降のバージョンでサポートされています。

FTDソフトウェア:

  • 7.0 バージョントレイン->7.0.6.3およびそれ以降のバージョンに対応。
  • 7.2バージョントレイン->7.2.9およびこの特定のトレイン内の新しいバージョンからサポートされています。
  • 7.4 バージョントレイン->7.4.2.1およびそれ以降のバージョンでサポートされています。
  • 7.6バージョントレイン->7.6.0およびそれ以降のバージョンでサポートされています。

サポートソフトウェアのバージョンを実行している場合は、以下のコマンドを使用して新機能を有効にすることができます。

脅威アクターが、通常は接続することを意図していないビルトイントンネルグループに接続しようとするのを防ぐには、次のコマンドを入力します:

threat-detectionサービス invalid-vpn-access

同じ IP アドレスから RAVPN サービスへの認証リクエストが何度も繰り返されるのを防ぐには、次のコマンドを使用します:

threat-detection service remote-access-client-initiations hold-down <分> threshold <カウント

最後に、同じIPアドレスからの認証リクエストが繰り返されないようにするには、次のコマンドを使う:

threat-detection-service-remote-access-authentication-hold-down<分> threshold <count>」。

remote-access-client-initiations機能とremote-access-authentication機能の両方で、minutes変数とcount変数には以下の定義がある:

  • hold-downは、最後の開始試行後、連続した接続試行がカウントされる期間を定義する。この期間内に連続接続試行回数が設定されたしきい値を満たすと、攻撃者の IPv4 アドレスは回避される。この期間は 1 ~ 1440 分の間で設定できます。
  • 閾値は、シャンのトリガーに必要なホールドダウン期間内の接続試行回数です。しきい値は5~100の間で設定できます。

IP アドレスが定義された期間内にあまりにも多くの接続または認証要求を行った場合、Cisco ASA および FTD ソフトウェアは、次のコマンドを使用して手動で削除するまで、IP アドレスを無期限にshun、またはブロックします:

no shun source_ip [ vlan vlan_id]を使用します。

ある Cisco ASA 管理者は、Reddit で 7 日ごとにすべてのシャントされた IP アドレスを自動的に削除できるスクリプトを共有しました。

Ciscoが共有した、3つの機能すべてを有効にする完全なコンフィギュレーションの例は次のとおりです:

脅威検出サービス invalid-vpn-access 脅威検出サービス remote-access-client-initiations hold-down 10 threshold 20 脅威検出サービス remote-access-authentication hold-down 10 threshold 20

Redditの管理者はさらに、クライアントイニシエーションプロテクションが彼らの環境でいくつかの誤検知を引き起こしたが、デフォルトのhold-down 10と threshold 20に戻した後はパフォーマンスが向上したと指摘している。

RAVPNが有効になっている場合、これらの機能を利用することに何か不都合はあるのかという質問に対しては、パフォーマンスに影響が出る可能性があると回答している。

「予想される “マイナス面 “はありませんが、既存のデバイス構成とトラフィック負荷に基づいて新しい機能を有効にする場合、パフォーマンスに影響を与える可能性があります」とシスコは述べている。

全体として、VPNアカウントをブルートフォース(総当たり)しようとする脅威行為者に狙われている場合、これらの攻撃を軽減するために、これらの機能を有効にすることを強く推奨する。