آبان ۲۸, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

ویژگی‌های جدید Cisco ASA و FTD حملات brute-force روی VPN را مسدود می‌کنند.

ویژگی‌های جدید Cisco ASA و FTD حملات brute-force روی VPN را مسدود می‌کنند.

Cisco ویژگی‌های امنیتی جدیدی را اضافه کرده است که به طور قابل‌توجهی حملات brute-force و password spray روی Cisco ASA و Firepower Threat Defense (FTD) را کاهش می‌دهند، که به محافظت از شبکه در برابر نفوذها کمک کرده و میزان استفاده از منابع دستگاه‌ها را کاهش می‌دهند.

حملات password spray و brute force مشابه هستند، زیرا هر دو تلاش می‌کنند تا با حدس زدن رمز عبور، به‌طور غیرمجاز به یک حساب کاربری آنلاین دسترسی پیدا کنند.

در حملات password spray، از یک رمز عبور ثابت برای دسترسی به حساب‌های مختلف به‌طور همزمان استفاده می‌شود تا سیستم‌های امنیتی متوجه نشوند. اما در حملات brute force، یک حساب مشخص انتخاب می‌شود و رمزهای مختلف بارها و بارها برای دسترسی به آن امتحان می‌شوند.

در ماه آوریل، سیسکو فاش کرد که عاملان تهدید در حال انجام حملات brute-force گسترده‌ای علیه حساب‌های VPN روی انواع دستگاه‌های شبکه، از جمله دستگاه‌های Cisco، Checkpoint، Fortinet، SonicWall، سرویس‌های وب RD، Miktrotik، Draytek، و Ubiquitiهستند.

Cisco هشدار داده است که اگر مهاجمان در حملات خود موفق شوند، می‌تواند پیامدهایی از جمله دسترسی غیرمجاز به سیستم، قفل شدن حساب‌های کاربری (به دلیل تلاش‌های متعدد برای ورود) و ایجاد اختلال در دسترسی به سرویس‌ها (Denial of Service) داشته باشد. این تأثیرات بستگی به نوع و تنظیمات محیط هدف دارد.

این حملات به Cisco امکان داد تا یک آسیب‌پذیری عدم ارائه خدمات (Denial of Service) را شناسایی و برطرف کند که با کد CVE-2024-20481 پیگیری می‌شود و در هنگام وقوع این نوع حملات باعث تخلیه منابع در دستگاه‌های Cisco ASA و FTD می‌شد.

ویژگی‌های جدید محافظت در برابر حملات brute-force روی VPN

پس از مواجهه با این حملات در ماه آوریل، Cisco قابلیت‌های جدیدی برای شناسایی تهدید در Cisco ASA و Firewall Threat Defense (FTD) منتشر کرد که به‌طور قابل‌توجهی تأثیر حملات brute-force و password spray را کاهش می‌دهند.

اگرچه این ویژگی‌ها از ماه ژوئن برای برخی نسخه‌های نرم‌افزاری در دسترس بوده‌اند، اما تا این ماه برای همه نسخه‌ها قابل دسترسی نبودند.

متأسفانه، هنگامی که با برخی از مدیران سیسکو صحبت شد، آن‌ها از وجود این ویژگی‌های جدید آگاه نبودند. با این حال، کسانی که از آن‌ها مطلع بودند، گزارش دادند که در کاهش حملات brute-force روی VPN، هنگام فعال بودن این ویژگی‌ها، موفقیت قابل‌توجهی داشتند.

مدیر Cisco در Reddit به تأثیر فوق‌العاده ویژگی‌های جدید امنیتی اشاره می‌کند. او گزارش می‌دهد که با فعال کردن این ویژگی‌ها، تعداد خطاهای ساعتی که در ابتدا ۵۰۰ هزار بود، به طور چشم‌گیری به ۱۷۰ کاهش یافته است.

این ویژگی‌های جدید بخشی از خدمات شناسایی تهدید هستند و حملات زیر را مسدود می‌کنند:

تلاش‌های مکرر ناموفق برای تأیید هویت در خدمات VPN دسترسی از راه دور (حملات اسکن رمز عبور/نام کاربری به روش brute-force).

حملات آغازین کلاینت، جایی که مهاجم تلاش‌های اتصال به یک نقطه دسترسی VPN از راه دور را از یک میزبان واحد بارها آغاز می‌کند اما آن‌ها را کامل نمی‌کند.

تلاش‌های اتصال به خدمات VPN دسترسی از راه دور نامعتبر. یعنی، زمانی که مهاجمان سعی می‌کنند به گروه‌های تونل خاصی که به‌طور ویژه برای عملکرد داخلی دستگاه طراحی شده‌اند، متصل شوند. نقاط انتهایی مشروع هرگز نباید به این گروه‌های تونل متصل شوند.

برای فعال‌سازی این ویژگی‌های جدید، شما باید از یک نسخه پشتیبانی‌شده از Cisco ASA و FTD استفاده کنید که در زیر فهرست شده‌اند:

نرم‌افزار ASA:

  • نسخه ۹.۱۶ -> از نسخه ۹.۱۶(۴)۶۷ و نسخه‌های جدیدتر در این خط خاص پشتیبانی می‌شود.
  • نسخه ۹.۱۷ -> از نسخه ۹.۱۷(۱)۴۵ و نسخه‌های جدیدتر در این خط خاص پشتیبانی می‌شود.
  • نسخه ۹.۱۸ -> از نسخه ۹.۱۸(۴)۴۰ و نسخه‌های جدیدتر در این خط خاص پشتیبانی می‌شود.
  • نسخه ۹.۱۹ -> از نسخه ۹.۱۹(۱).۳۷ و نسخه‌های جدیدتر در این خط خاص پشتیبانی می‌شود.
  • نسخه ۹.۲۰ -> از نسخه ۹.۲۰(۳) و نسخه‌های جدیدتر در این خط خاص پشتیبانی می‌شود.
  • نسخه ۹.۲۲ -> از نسخه ۹.۲۲(۱.۱) و هر نسخه جدیدتر پشتیبانی می‌شود.

نرم‌افزار FTD:

  • نسخه ۷.۰ -> از نسخه ۷.۰.۶.۳ و نسخه‌های جدیدتر در این خط خاص پشتیبانی می‌شود.
  • نسخه ۷.۲ -> از نسخه ۷.۲.۹ و نسخه‌های جدیدتر در این خط خاص پشتیبانی می‌شود.
  • نسخه ۷.۴ -> از نسخه ۷.۴.۲.۱ و نسخه‌های جدیدتر در این خط خاص پشتیبانی می‌شود.
  • نسخه ۷.۶ -> از نسخه ۷.۶.۰ و هر نسخه جدیدتر پشتیبانی می‌شود.

اگر از یک نسخه نرم‌افزار پشتیبانی‌شده استفاده می‌کنید، می‌توانید از دستورات زیر برای فعال‌سازی ویژگی‌های جدید استفاده کنید.

برای جلوگیری از تلاش‌های غیرمجاز مهاجمان برای اتصال به گروه‌های تونل داخلی که معمولاً برای اتصال کاربران طراحی نشده‌اند، کاربر باید یک دستور خاص را وارد کند.

threat-detection service invalid-vpn-access

برای جلوگیری از تلاش‌های مکرر یک آدرس IP خاص برای ارسال درخواست‌های تأیید هویت به سرویس VPN دسترسی از راه دور (RAVPN) که هیچ‌گاه به نتیجه نمی‌رسند، کاربر باید یک دستور خاص را وارد کند.

threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>

برای جلوگیری از درخواست‌های مکرر تأیید هویت از یک آدرس IP مشخص، باید از این دستور استفاده کنید:

threat-detection service remote-access-authentication hold-down <minutes> threshold <count>

برای ویژگی‌های شروع‌های کلاینت دسترسی از راه دور و تأیید هویت دسترسی از راه دور، متغیرهای دقیقه و تعداد به تعریف‌های زیر اشاره دارند:

نگهداری (hold-down) دوره‌ای را تعریف می‌کند که پس از آخرین تلاش شروع، در آن تلاش‌های متوالی اتصال شمارش می‌شوند. اگر تعداد تلاش‌های متوالی اتصال در این دوره به آستانه تنظیم‌شده برسد، آدرس IPv4 مهاجم مسدود می‌شود. شما می‌توانید این دوره را بین ۱ تا ۱۴۴۰ دقیقه تنظیم کنید.

آستانه (threshold) تعداد تلاش‌های اتصالی است که در دوره نگهداری (hold-down) مورد نیاز است تا یک مسدودسازی (shun) فعال شود. شما می‌توانید آستانه را بین ۵ تا ۱۰۰ تنظیم کنید.

اگر آدرس‌های IP در دوره تعریف‌شده درخواست‌های اتصال یا تأیید هویت زیادی ارسال کنند، سپس نرم‌افزار Cisco ASA و FTD آن آدرس IP را به‌طور نامحدود مسدود (shun) خواهد کرد تا زمانی که شما به‌صورت دستی آن را با استفاده از دستور زیر حذف کنید:

no shun source_ip [ vlan vlan_id]

یکی از مدیران Cisco ASA در Reddit اسکریپتی را به اشتراک گذاشت که می‌تواند به‌طور خودکار هر هفت روز تمام آدرس‌های IP مسدود شده را حذف کند.

یک مثال از یک پیکربندی کامل که توسط سیسکو به اشتراک گذاشته شده و همه سه ویژگی را فعال می‌کند، عبارت است از:

threat-detection service invalid-vpn-access

threat-detection service remote-access-client-initiations hold-down 10 threshold 20

threat-detection service remote-access-authentication hold-down 10 threshold 20

یکی از مدیران شبکه در پلتفرم ردیت به تجربیات خود اشاره کرده است. او متوجه شده که حفاظت‌هایی که برای جلوگیری از شروع‌های غیرمجاز کلاینت در نظر گرفته شده، برخی از تلاش‌های قانونی را به‌طور نادرست به عنوان حمله شناسایی کرده است (False Positive). با این حال، بعد از اینکه به تنظیمات پیش‌فرض (نگهداری ۱۰ دقیقه و آستانه ۲۰) بازگشته‌اند، عملکرد این حفاظت‌ها بهبود یافته است.

Cisco اعلام کرده است که به‌طور کلی انتظار نمی‌رود که استفاده از ویژگی‌های جدید مشکل یا عیبی ایجاد کند. با این حال، این احتمال وجود دارد که فعال‌سازی این ویژگی‌ها تأثیری بر عملکرد دستگاه داشته باشد، و این تأثیر به پیکربندی فعلی دستگاه و بار ترافیکی آن بستگی دارد.

به‌طور کلی، اگر هدف عاملان تهدید هستید که سعی دارند به‌صورت brute force به حساب‌های VPN شما نفوذ کنند، به‌شدت توصیه می‌شود که این ویژگی‌ها را فعال کنید تا از این حملات جلوگیری کنید، زیرا اطلاعات اعتبارنامه VPN که به خطر افتاده‌اند، به‌طور معمول برای نفوذ به شبکه‌ها در حملات باج‌افزاری استفاده می‌شوند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب