Cisco vừa cập nhật các tính năng bảo mật mới nhằm giảm thiểu các cuộc tấn công password spray và brute-force trên Cisco ASA và Firepower Threat Defense (FTD).
Các cuộc tấn công password spray và brute-force đều cố gắng truy cập trái phép vào tài khoản bằng cách đoán mật khẩu. Tuy nhiên, có sự khác biệt giữa hai loại tấn công này. Tấn công password spray cố gắng sử dụng cùng một mật khẩu cho nhiều tài khoản cùng lúc, trong khi tấn công brute-force nhắm vào một tài khoản cụ thể và thử nhiều mật khẩu khác nhau.
Vào tháng 4, Cisco phát hiện nhiều cuộc tấn công brute-force lớn nhắm vào tài khoản VPN trên nhiều thiết bị mạng khác nhau, bao gồm các sản phẩm của Cisco, Checkpoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek và Ubiquiti. Những cuộc tấn công này có thể dẫn đến việc truy cập trái phép, khóa tài khoản, hoặc tình trạng từ chối dịch vụ (DoS).
Cisco đã bổ sung các tính năng bảo mật mới giúp giảm đáng kể các cuộc tấn công password spray và tấn công bằng brute force trên Cisco ASA và Firepower Threat Defense (FTD), giúp bảo vệ mạng khỏi các vi phạm và giảm việc sử dụng tài nguyên trên các thiết bị. Những tính năng này đã có sẵn cho một số phiên bản phần mềm từ tháng 6, nhưng đã được mở rộng cho tất cả các phiên bản.
Một số quản trị viên Cisco đã báo cáo rằng khi kích hoạt các tính năng này, họ đã thấy sự giảm đáng kể trong số lượng cuộc tấn công. Cụ thể, số lượng lỗi giảm từ 500.000 mỗi giờ xuống còn 170 trong một đêm.
Các tính năng mới bao gồm:
- Ngăn chặn nỗ lực xác thực không thành công: Dừng các cố gắng truy cập từ xa không thành công vào dịch vụ VPN (tấn công quét tên người dùng/mật khẩu bằng cách dùng brute force), yêu cầu xác thực lặp lại từ cùng một địa chỉ IP: threat-detection service remote-access-authentication hold-down <minutes> threshold <count>
- Ngăn chặn tấn công khởi tạo từ máy khách: Dừng các nỗ lực xác thực lặp lại từ cùng một địa chỉ IP nhằm khởi tạo yêu cầu xác thực tới dịch vụ RAVPN: threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>
- Ngăn chặn kết nối không hợp kệ: Chặn những cố gắng kết nối vào các tunnel group chỉ dành cho nội bộ: threat-detection service invalid-vpn-access
Nếu địa chỉ IP thực hiện quá nhiều yêu cầu kết nối hoặc xác thực trong khoảng thời gian xác định, thì phần mềm Cisco ASA và FTD sẽ ngăn chặn hoặc chặn địa chỉ IP vô thời hạn cho đến khi bạn xóa thủ công bằng lệnh sau: no shun source_ip [ vlan vlan_id]
Cisco cũng cảnh báo rằng những tấn công này có thể tiêu tốn tài nguyên và dẫn đến tình trạng từ chối dịch vụ. Để sử dụng các tính năng này, bạn cần chạy phiên bản phần mềm hỗ trợ. Dưới đây là một số phiên bản được hỗ trợ cho ASA và FTD:
Phần mềm ASA:
Phiên bản 9.16 -> được hỗ trợ từ 9.16(4)67 trở lên
Phiên bản 9.17 -> được hỗ trợ từ 9.17(1)45 trở lên
Phiên bản 9.18 -> được hỗ trợ từ 9.18(4)40 trở lên
Phiên bản 9.19 -> được hỗ trợ từ 9.19(1).37 trở lên
Phiên bản 9.20 -> được hỗ trợ từ 9.20(3) trở lên
Phiên bản 9.22 -> được hỗ trợ từ 9.22(1.1) trở lên
Phần mềm FTD:
Phiên bản 7.0 -> được hỗ trợ từ 7.0.6.3 trở lên
Phiên bản 7.2 -> được hỗ trợ từ 7.2.9 trở lên
Phiên bản 7.4 -> được hỗ trợ từ 7.4.2.1 trở lên
Phiên bản 7.6 -> được hỗ trợ từ 7.6.0 trở lên
Nếu bạn là mục tiêu của các cuộc tấn công brute-force vào tài khoản VPN, việc kích hoạt các tính năng bảo vệ này là rất quan trọng. Tuy nhiên, cũng cần lưu ý rằng có thể có một số tác động đến hiệu suất, vì vậy nên cân nhắc kỹ trước khi kích hoạt.
Nguồn: bleepingcomputer
