Cisco avertizează asupra atacurilor password-spraying

Cisco a transmis un set de recomandări pentru utilizatori în vederea remedierii atacurilor de tip password-spraying care au vizat serviciile Remote Access VPN (RAVPN) configurate pe dispozitivele Cisco Secure Firewall.

Compania afirmă că atacurile au vizat și alte servicii VPN și par să facă parte dintr-o activitate de reconnaissance.

În timpul unui atac de tip password-spraying, o persoană rău intenționată încearcă acceași parolă pentru mai multe nume de utilizatori în încercarea de a se conecta.

Unul dintre indicatorii acestui atac face referire la imposibilitatea de a stabili conexiuni VPN cu Cisco Secure Client (AnyConnect) atunci când este activată funcția Firewall Posture (HostScan).

Un alt semn este un număr neobișnuit de cereri de autentificare înregistrate în jurnalele de sistem.

Recomandările Cisco pentru a vă apăra împotriva acestor atacuri includ:

• Activarea înregistrării pe un server syslog pentru a îmbunătăți analiza și corelarea incidentelor.
• Securizarea profilurilor implicite de acces la distanță VPN prin direcționarea profilurilor de conectare implicite neutilizate către un server AAA de tip sinkhole pentru a preveni accesul neautorizat.
• Folosirea TCP shun pentru a bloca manual IP-urile malițioase.
• Configurarea ACL-urilor din planul de control pentru a filtra adresele IP publice neautorizate de la inițierea sesiunilor VPN.
• Utilizarea autentificării bazate pe certificate pentru RAVPN, care oferă o metodă de autentificare mai sigură decât credențialele standard.

Sursă: https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/