Cisco, Cisco ASA ve Firepower Threat Defense’e (FTD) yönelik kaba kuvvet ve parola püskürtme saldırılarını önemli ölçüde azaltan yeni güvenlik özellikleri ekleyerek ağın ihlallerden korunmasına ve cihazlardaki kaynak kullanımının azaltılmasına yardımcı oluyor.
Parola spreyi ve kaba kuvvet saldırıları, her ikisinin de bir parolayı tahmin ederek çevrimiçi bir hesaba yetkisiz erişim sağlamaya çalışması açısından benzerdir.
Ancak parola sprey saldırıları, savunmalardan kaçınmak için aynı parolaları birden fazla hesapta aynı anda kullanmaya çalışacaktır. Bunun aksine, kaba kuvvet saldırıları, farklı şifre denemeleriyle tekrar tekrar tek bir hesabı hedef alır.
Nisan ayında Cisco, tehdit aktörlerinin aralarında Cisco, Checkpoint, Fortinet, SonicWall, RD Web Hizmetleri, Miktrotik, Draytek ve Ubiquiti’nin de bulunduğu çeşitli ağ cihazlarındaki VPN hesaplarına büyük kaba kuvvet saldırıları gerçekleştirdiğini açıklamıştı.
Cisco, başarılı saldırıların, hedeflenen ortama bağlı olarak yetkisiz erişime, hesap kilitlenmelerine ve hizmet reddi durumlarına yol açabileceği konusunda uyardı.
Bu saldırılar, Cisco’nun, CVE-2024-20481 olarak takip edilen ve bu tür saldırılarla vurulduğunda Cisco ASA ve FTD cihazlarındaki kaynakları tüketen bir Hizmet Reddi güvenlik açığını keşfetmesine ve düzeltmesine olanak tanıdı.
Yeni VPN kaba kuvvet saldırısına karşı koruma özellikleri
Nisan ayındaki saldırılara maruz kalan Cisco, Cisco ASA ve Güvenlik Duvarı Tehdit Savunmasında (FTD) kaba kuvvet ve parola sprey saldırılarının etkisini önemli ölçüde azaltan yeni tehdit algılama yeteneklerini yayınladı.
Bu özellikler haziran ayından bu yana bazı yazılım sürümlerinde mevcut olsa da bu aya kadar tüm sürümlerde kullanılamıyordu.
Maalesef bazı Cisco yöneticileriyle konuşurken bu yeni özelliklerden haberleri yoktu. Ancak, özellikler etkinleştirildiğinde VPN kaba kuvvet saldırılarını azaltmada önemli başarı elde ettiklerini bildirdiler.
Bir Cisco yöneticisi Reddit’te şunları paylaştı: “O kadar sihirli bir şekilde çalıştı ki, saatlik 500 bin arıza dün gece 170!’e düştü!”
Bu yeni özellikler, tehdit algılama hizmetinin bir parçasıdır ve aşağıdaki saldırı türlerini engeller:
- Tekrarlanan başarısız kimlik doğrulama girişimleri VPN hizmetlerine uzaktan erişim (kaba kuvvet kullanıcı adı/şifre tarama saldırıları).
- İstemci başlatma saldırılarıSaldırganın bağlantıyı başlattığı ancak tamamlamadığı, tek bir ana bilgisayardan defalarca uzaktan erişim VPN başlığına ulaşma girişiminde bulunur.
- Bağlantı geçersiz uzaktan erişim VPN hizmetlerine ulaşmaya çalışıyor. Yani saldırganlar yalnızca cihazın dahili işleyişine yönelik belirli yerleşik tünel gruplarına bağlanmaya çalıştığında. Meşru uç noktalar hiçbir zaman bu tünel gruplarına bağlanmaya çalışmamalıdır.
Cisco, BleepingComputer’a, istemci başlatma saldırılarının genellikle kaynakları tüketmek için gerçekleştirildiğini ve potansiyel olarak cihazı hizmet reddi durumuna soktuğunu söyledi.
Bu yeni özellikleri etkinleştirmek için Cisco ASA ve FTD’nin aşağıda listelenen desteklenen bir sürümünü çalıştırıyor olmanız gerekir:
ASA Yazılımı:
- 9.16 versiyonu tren -> tarafından destekleniyor 9.16(4)67 ve bu spesifik trenin daha yeni versiyonları.
- 9.17 versiyon treni -> tarafından destekleniyor 9.17(1)45 ve bu spesifik trenin daha yeni versiyonları.
- 9.18 versiyonu tren -> tarafından destekleniyor 9.18(4)40 ve bu spesifik trenin daha yeni versiyonları.
- 9.19 versiyon treni -> tarafından destekleniyor 9.19(1).37 ve bu spesifik trenin daha yeni versiyonları.
- 9.20 versiyon treni -> tarafından destekleniyor 9.20(3) ve bu spesifik trenin daha yeni versiyonları.
- 9.22 versiyonu tren -> tarafından destekleniyor 9.22(1.1) ve daha yeni sürümler.
FTD Yazılımı:
- 7.0 sürüm treni -> tarafından destekleniyor 7.0.6.3 ve bu spesifik trenin daha yeni versiyonları.
- 7.2 versiyon treni -> tarafından destekleniyor 7.2.9 ve bu özel trenin daha yeni versiyonu.
- 7.4 versiyon tren -> tarafından destekleniyor 7.4.2.1 ve bu özel trenin daha yeni versiyonu.
- 7.6 versiyon tren -> tarafından destekleniyor 7.6.0 ve daha yeni sürümler.
Destek yazılımı sürümünü çalıştırıyorsanız yeni özellikleri etkinleştirmek için aşağıdaki komutları kullanabilirsiniz.
Tehdit aktörlerinin normalde bağlanılması amaçlanmayan yerleşik tünel gruplarına bağlanmaya çalışmasını önlemek için şu komutu girersiniz:
threat-detection service invalid-vpn-access
Aynı IP adresinden RAVPN hizmetine bir kimlik doğrulama isteği başlatmaya yönelik tekrarlanan girişimleri ancak bu isteği hiçbir zaman tamamlamamak için şu komutu kullanırsınız:
threat-detection service remote-access-client-initiations hold-down threshold
Son olarak, aynı IP adresinden tekrarlanan kimlik doğrulama isteklerini önlemek için şu komutu kullanırsınız:
threat-detection service remote-access-authentication hold-down threshold
Her ikisi için de uzaktan erişim istemcisi başlatmaları Ve uzaktan erişim kimlik doğrulaması özellikler, dakikalar ve sayım değişkenleri aşağıdaki tanımlara sahiptir:
- basılı tutma ardışık bağlantı girişimlerinin sayıldığı son başlatma denemesinden sonraki süreyi tanımlar. Bu süre içinde ardışık bağlantı denemelerinin sayısı yapılandırılan eşiğe ulaşırsa saldırganın IPv4 adresi kapatılır. Bu süreyi 1 ile 1440 dakika arasında ayarlayabilirsiniz.
- eşik kapatmayı tetiklemek için bekleme süresi içinde gereken bağlantı denemelerinin sayısıdır. Eşiği 5 ila 100 arasında ayarlayabilirsiniz.
IP adresleri tanımlanan dönemde çok fazla bağlantı veya kimlik doğrulama isteğinde bulunursa, Cisco ASA ve FTD yazılımı, siz aşağıdaki komutu kullanarak manuel olarak kaldırana kadar IP adresini süresiz olarak engelleyecek veya engelleyecektir:
no shun source_ip [ vlan vlan_id]
Bir Cisco ASA yöneticisi, Reddit’te her yedi günde bir kapatılan tüm IP adreslerini otomatik olarak kaldırabilen bir komut dosyası paylaştı.
Cisco tarafından paylaşılan ve üç özelliğin tümünü etkinleştiren eksiksiz bir yapılandırma örneği şöyledir:
threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20
Reddit’teki bir yönetici ayrıca istemci başlatma korumalarının kendi ortamlarında bazı yanlış pozitiflere neden olduğunu ancak varsayılan ayarlara geri döndükten sonra daha iyi performans gösterdiğini belirtti. basılı tutma 10 Ve eşik 20.
BleepingComputer, RAVPN etkinleştirilirse bu özellikleri kullanmanın herhangi bir dezavantajı olup olmadığını sorduğunda performansa etki potansiyeli olabileceğini söylediler.
Cisco, BleepingComputer’a “Beklenen bir ‘dezavantaj’ yok, ancak mevcut cihaz konfigürasyonu ve trafik yüküne dayalı olarak yeni özellikler etkinleştirildiğinde performans etkisi potansiyeli mevcut olabilir” dedi.
Genel olarak, VPN hesaplarınıza kaba kuvvet uygulamaya çalışan tehdit aktörleri tarafından hedeflendiyseniz, ele geçirilen VPN kimlik bilgileri genellikle fidye yazılımı saldırıları için ağları ihlal etmek amacıyla kullanıldığından, bu saldırıları azaltmak için bu özellikleri etkinleştirmeniz önemle tavsiye edilir.