Cisco ได้เพิ่มฟีเจอร์ความปลอดภัยใหม่ที่ช่วยลดความรุนแรงของการโจมตีแบบ brute-force และ password spray บน Cisco ASA และ Firepower Threat Defense (FTD) ได้มาก ซึ่งช่วยป้องกันเครือข่ายจากการโจมตีบนระบบและลดการใช้งานทรัพยากรของอุปกรณ์
การโจมตีแบบ Password spray และ brute force มีความคล้ายคลึงกัน โดยทั้งสองแบบพยายามเข้าถึงบัญชีโดยไม่ได้รับอนุญาตผ่านการคาดเดารหัสผ่าน
อย่างไรก็ตาม การโจมตีแบบ Password Spray จะพยายามใช้รหัสผ่านเดียวกันในหลายบัญชีพร้อมกันเพื่อหลีกเลี่ยงการป้องกัน ในขณะที่การโจมตีแบบเดารหัสผ่านจะเน้นเป้าหมายไปที่บัญชีเดียวด้วยการลองรหัสผ่านหลายแบบ
ในเดือนเมษายน Cisco เปิดเผยว่าผู้โจมตีได้ทำการโจมตีแบบ brute-force จำนวนมากไปยังบัญชี VPN บนอุปกรณ์เครือข่ายหลายประเภท รวมถึงอุปกรณ์จาก Cisco, Checkpoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek, และ Ubiquiti
Cisco เตือนว่าการโจมตีที่สำเร็จอาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต เช่น การถูกล็อกบัญชี และการปฏิเสธการให้บริการ(DoS) โดยขึ้นอยู่กับ environment ของเป้าหมาย
การโจมตีเหล่านี้ทำให้ Cisco สามารถค้นพบ และแก้ไขช่องโหว่ Denial of Service ซึ่งมีเป็นหมายเลข CVE-2024-20481 เป็นช่องโหว่ที่ทำให้ทรัพยากรของอุปกรณ์ Cisco ASA และ FTD หมดไปเมื่อถูกโจมตีด้วยวิธีนี้
ฟีเจอร์ใหม่ป้องกันการโจมตีแบบ brute-force บน VPN
หลังจากถูกโจมตีในเดือนเมษายน Cisco ได้เปิดตัวฟีเจอร์ใหม่ที่สามารถตรวจจับการโจมตีใน Cisco ASA และ Firewall Threat Defense (FTD) ซึ่งช่วยลดผลกระทบจากการโจมตีแบบ brute-force และ password spray ได้มากขึ้น
แม้ว่าฟีเจอร์เหล่านี้จะมีให้ใช้ในบางเวอร์ชันของซอฟต์แวร์ตั้งแต่เดือนมิถุนายน แต่เพิ่งจะเปิดให้ใช้ได้ในทุกเวอร์ชันเมื่อเดือนตุลาคมนี้
แต่พบว่าผู้ดูแลระบบ Cisco บางคนยังไม่ทราบเกี่ยวกับฟีเจอร์ใหม่เหล่านี้ อย่างไรก็ตาม ผู้ที่ทราบได้ระบุว่าสามารถลดการโจมตีแบบ brute-force บน VPN ได้อย่างมากเมื่อเปิดใช้งานฟีเจอร์เหล่านี้
“ผู้ดูแลระบบ Cisco ได้แชร์ข้อมูลบน Reddit ว่า ฟีเจอร์ใหม่เหล่านี้สามารถทำงานได้อย่างยอดเยี่ยมมาก จาก failures 500,000 ครั้งต่อชั่วโมง ลดลงเหลือ 170 ครั้งต่อชั่วโมงในช่วงที่ผ่านมา”
ฟีเจอร์ใหม่เหล่านี้เป็นส่วนหนึ่งของ threat detection service และสามารถบล็อกการโจมตีประเภทต่อไปนี้ได้
- Repeated failed authentication attempts การเข้าถึง VPN services จากระยะไกลในลักษณะ brute-force username/password scanning attacks
- Client initiation attacks ผู้โจมตีเริ่มการเชื่อมต่อกับ VPN แต่ไม่ได้ทำการเชื่อมต่อให้เสร็จสมบูรณ์ และพยายามเชื่อมต่อซ้ำจากโฮสต์เดียวหลายครั้ง
- Connection attempts to invalid remote access VPN services ผู้โจมตีพยายามเชื่อมต่อไปยัง built-in tunnel groups ของอุปกรณ์ ซึ่งพฤติกรรมปกติทั่วไปจะไม่มีการพยายามเชื่อมต่อไปยังกลุ่มช่องทางเหล่านี้
Cisco แจ้งกับ BleepingComputer ว่าการโจมตีแบบ client initiation มักเกิดขึ้นเพื่อใช้ทรัพยากร ซึ่งอาจทำให้อุปกรณ์อยู่ในสถานะปฏิเสธการให้บริการ (DoS) ได้
ในการเปิดใช้ฟีเจอร์ใหม่เหล่านี้ ต้องมีการใช้งาน Cisco ASA และ FTD เวอร์ชันที่รองรับ ซึ่งมีรายชื่อแสดงด้านล่าง
หากกำลังใช้งานซอฟต์แวร์เวอร์ชันที่รองรับ สามารถใช้คำสั่งต่อไปนี้เพื่อเปิดใช้งานฟีเจอร์ใหม่นี้ได้
เพื่อป้องกันไม่ให้ผู้โจมตีพยายามเชื่อมต่อไปยัง built-in tunnel groups และพฤติกรรมปกติไม่ควรมีการเชื่อมต่อ ดังนั้นควรใช้คำสั่งนี้
เพื่อป้องกันการพยายามร้องขอตรวจสอบสิทธิ์จาก IP address เดียวกันไปยังบริการ RAVPN ซ้ำ ๆ โดยการเชื่อมต่อไม่สำเร็จ ควรใช้คำสั่งนี้
สุดท้าย หากต้องการป้องกันการ request ขอการยืนยันตัวตนซ้ำจากที่อยู่ IP เดียวกัน ควรใช้คำสั่งนี้
สำหรับฟีเจอร์ remote-access-client-initiations และ remote-access-authentication มีตัวแปรเป็น minutes และ count โดยมีคำอธิบายดังนี้
- hold-down เป็นการกำหนดระยะเวลาหลังจากการพยายามเชื่อมต่อครั้งล่าสุด ซึ่งระบบจะนับจำนวนการพยายามเชื่อมต่อที่ติดต่อกัน หากจำนวนการพยายามเชื่อมต่อถึงเกณฑ์ที่กำหนดไว้ในช่วงเวลาดังกล่าวที่อยู่ IPv4 ของผู้โจมตีจะถูกบล็อก (shunned) โดยสามารถตั้งช่วงเวลานี้ได้ตั้งแต่ 1 ถึง 1440 นาที
- threshold คือ จำนวนครั้งของการพยายามเชื่อมต่อที่เกิดขึ้นภายในช่วงเวลา hold-down เพื่อให้ระบบบล็อกผู้โจมตี โดยสามารถตั้งค่าเกณฑ์นี้ได้ตั้งแต่ 5 ถึง 100
หากที่อยู่ IP มีการ request การเชื่อมต่อ หรือมีการยืนยันตัวตนมากเกินไปในช่วงเวลาที่กำหนด ซอฟต์แวร์ Cisco ASA และ FTD จะทำการบล็อกที่อยู่ IP ไปเรื่อย ๆ จนกว่าจะลบการบล็อกออกด้วยตนเองโดยใช้คำสั่งต่อไปนี้
ผู้ดูแลระบบ Cisco ASA แชร์สคริปต์บน Reddit ซึ่งสามารถลบที่อยู่ IP ที่ถูกบล็อกทั้งหมดแบบอัตโนมัติทุก ๆ เจ็ดวัน
ตัวอย่างการกำหนดค่าฉบับสมบูรณ์ที่ Cisco แนะนำเพื่อเปิดใช้งานทั้งสามฟีเจอร์คือ
นอกจากนี้ ผู้ดูแลระบบคนหนึ่งใน Reddit ยังระบุว่า การป้องกัน client initiation ทำให้เกิด false positives ในระบบของเขา แต่ทำงานได้ดีขึ้นหลังจากตั้งค่ากลับไปเป็นค่าเริ่มต้นที่ hold-down 10 และ threshold 20
เมื่อ BleepingComputer ถามว่ามีข้อเสียใดบ้าง ในการใช้ฟีเจอร์เหล่านี้หากเปิดใช้งาน RAVPN ทาง Cisco ตอบว่าอาจมีผลกระทบต่อประสิทธิภาพการทำงาน
Cisco แจ้งกับ BleepingComputer ว่าไม่มีข้อเสียที่คาดการณ์ไว้ แต่อาจมีผลกระทบต่อประสิทธิภาพเมื่อเปิดใช้งานฟีเจอร์ใหม่ ซึ่งขึ้นอยู่กับการตั้งค่าอุปกรณ์ และปริมาณการใช้งานที่มีอยู่
โดยรวมแล้ว หากองค์กรตกเป็นเป้าหมายของผู้โจมตีที่พยายาม brute force บน VPN แนะนำให้เปิดใช้งานฟีเจอร์เหล่านี้เพื่อลดการโจมตี เนื่องจากข้อมูล VPN credentials ที่ถูกโจมตี มักถูกนำไปใช้ในการโจมตีเครือข่ายด้วยแรนซัมแวร์
ที่มา : bleepingcomputer
You must be logged in to post a comment.