セキュアファイアウォールのリモートアクセスVPNサービスを対象としたパスワードスプレー攻撃に対する推奨事項
はじめに
このドキュメントでは、セキュアファイアウォールのリモートアクセスVPNサービスを対象としたパスワードスプレー攻撃に対して考慮すべき推奨事項について説明します。
背景説明
パスワードスプレー攻撃は総当たり攻撃の一種で、攻撃者が複数のアカウントに対して一般的に使用される数個のパスワードを体系的に試行して、複数のユーザアカウントへの不正アクセスを試みます。 パスワードを悪用した攻撃が成功すると、機密情報への不正アクセス、データ漏洩、ネットワークの整合性の低下を引き起こす可能性があります
さらに、これらの攻撃は、アクセスを取得しようとして失敗した場合でも、セキュアファイアウォールの計算リソースを消費し、有効なユーザがリモートアクセスVPNサービスに接続できないようにする可能性があります。
確認された動作
セキュアファイアウォールがリモートアクセスVPNサービスのパスワードスプレー攻撃の標的になっている場合は、syslogを監視し、特定のshowコマンドを使用して攻撃を特定できます。最も一般的な動作は次のとおりです。
拒否された認証要求の異常量
VPNヘッドエンドのCisco Secure Firewall ASAまたはFTDに、認証試行の拒否という異常な率のパスワードスプレー攻撃の症状が現れます。
これを検出する最善の方法は、syslogを調べることです。次のASA syslog IDの中で異常な数を探します。
- %ASA-6-113015
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
- %ASA-6-113005
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
- %ASA-6-716039
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
ユーザ名は、ASAでno logging hide usernameコマンドが設定されるまで、常に非表示になります。
確認するには、ASAまたはFTDのコマンドラインインターフェイス(CLI)にログインしてshow aaa-serverコマンドを実行し、設定されたAAAサーバのいずれかに対して試行された認証要求と拒否された認証要求が異常な数に達していないかどうかを調べます。
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
推奨事項
次の推奨事項を検討して適用します。
1. ロギングを有効にします。
ロギングは、システム内で発生するイベントの記録を含むサイバーセキュリティの重要な部分です。詳細なログがないため、理解にギャップがあり、攻撃方法の明確な分析を妨げます。リモートsyslogサーバへのロギングを有効にして、さまざまなネットワークデバイス間のネットワークおよびセキュリティインシデントの関連付けと監査を改善することを推奨します。
ロギングの設定方法については、次のプラットフォーム固有のガイドを参照してください。
Cisco ASAソフトウェア:
- Cisco ASA ファイアウォールを保護するためのガイドの使用
- 『Cisco Secure Firewall ASAシリーズGeneral Operations CLIコンフィギュレーションガイド』の「ロギング」の章
Cisco FTDソフトウェア:
- ファイアウォール管理センター(FMC)を介したFTDへのロギングの設定
- 『Cisco Secure Firewall Management Center Device Configuration Guide』の「Platform Settings」の章の「Configure Syslog」の項
- Firepower Device Manager(FDM)でのsyslogの設定と確認
- 『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「System Settings」の章の「Configuring System Logging Settings」の項
2. リモートアクセスVPNの脅威検出機能または強化対策を構成します。
影響を緩和し、RAVPN接続でこのような総当たり攻撃が発生する可能性を減らすには、次の設定オプションを確認して適用します。
オプション1(推奨):リモートアクセスVPNサービスの脅威検出を設定します。
リモートアクセスVPNサービスの脅威検出機能は、設定されたしきい値を超えるホスト(IPアドレス)を自動的にブロックして、IPアドレスの回避を手動で削除するまで試行を続けることがないようにすることで、IPv4アドレスからのサービス拒否(DoS)攻撃を防止します。次のタイプの攻撃に対して個別のサービスを利用できます。
- リモートアクセスVPNサービスに対する認証の試みに繰り返し失敗した(ユーザ名/パスワードのブルートフォーススキャン攻撃)。
- Client initiation attacks:攻撃者が開始するが、リモートアクセスVPNヘッドエンドへの接続試行を完了しない場合、1台のホストから何度も攻撃を受けます。
- リモートアクセスVPNサービスの接続を無効にしようと試みています。つまり、攻撃者がデバイスの内部機能専用の特定の組み込みトンネルグループに接続しようとすると、正当なエンドポイントは、これらのトンネルグループに接続しようとしないでください。
これらの脅威検出機能は、現在、次に示すバージョンのCisco Secure Firewallでサポートされています。
ASAソフトウェア:
- 9.16バージョン群 ->この特定の群内の9.16(4)67以降のバージョンでサポートされます。
- 9.17バージョン群:この特定の群内の9.17(1)45以降のバージョンからサポート。
- 9.18バージョン群 ->この特定の群内の9.18(4)40以降のバージョンでサポートされます。
- 9.19バージョントレイン ->この特定トレイン内の9.19(1).37以降のバージョンでサポートされます。
- 9.20バージョン群 ->この特定の群内の9.20(3)以降のバージョンでサポートされます。
- 9.22バージョン群 -> 9.22(1.1)以降およびそれ以降のバージョンでサポートされています。
FTDソフトウェア:
- 7.0バージョン群 ->この特定の群内の7.0.6.3以降のバージョンでサポートされます。
- 7.2バージョン群 ->この特定の群内の7.2.9以降のバージョンでサポートされます。
- 7.4バージョン群 ->この特定の群内の7.4.2.1以降のバージョンでサポートされます。
- 7.6バージョン群 -> 7.6.0以降の任意の新しいバージョンでサポートされます。
詳細と設定のガイダンスについては、次のドキュメントを参照してください。
- セキュアファイアウォールASAでの設定:セキュアファイアウォールASAでのリモートアクセスVPNの脅威検出を設定します。
- セキュアファイアウォールFTDの設定:セキュアファイアウォール脅威対策のリモートアクセスVPNサービスの脅威検出の設定
オプション2:リモートアクセスVPNに強化対策を適用します。
ご使用のセキュアファイアウォールバージョンでリモートアクセスVPNサービスの脅威検出機能がサポートされていない場合は、次の強化対策を実装して、これらの攻撃による影響のリスクを軽減してください。
- DefaultWEBVPNおよびDefaultRAGroup接続プロファイルでAAA認証を無効にします(詳細手順:ASA|FMCにより管理されるFTD)。
- DefaultWEBVPNGroupおよびDefaultRAGroupから、セキュアファイアウォールポスチャ(ホストスキャン)を無効にします(詳細手順:ASA|FMCで管理されるFTD)。
- 残りの接続プロファイルでグループエイリアスを無効にし、グループURLを有効にします(詳細手順:ASA|FMCで管理されるFTD)。
詳細については、『セキュアクライアントAnyConnect VPNの強化対策の実装』ガイドを参照してください。
関連する動作
セキュアファイアウォールでファイアウォールポスチャ(HostScan)が有効になっていると、Cisco Secure Client(AnyConnect)でVPN接続を確立できない場合があります。断続的に、「Unable to complete connection.」というエラーメッセージが表示されることがあります。Cisco Secure Desktopがクライアントにインストールされていません。".
この動作は、次に説明する脆弱性CVE-2024-20481の不正利用が成功した結果です。
Cisco Bug ID CSCwj45822:
この脆弱性は、攻撃者がターゲットデバイスに多数のVPN認証要求を送信するパスワードスプレー攻撃によるリソースの枯渇から発生します。不正利用に成功すると、RAVPNサービスのサービス拒否(DoS)につながる可能性があります。この不正利用の主な症状は、ユーザが断続的に「Unable to complete connection.Cisco Secure Desktop not installed on the client」というエラーメッセージをトラブルシューティングする方法について説明します。
この脆弱性を修正するには、セキュリティアドバイザリに記載されているソフトウェアバージョンにアップグレードする必要があります。さらに、Secure Firewallをこれらのバージョンにアップグレードした後に、リモートアクセスVPNの脅威検出機能を有効にして、RAVPNサービスを対象としたDoS攻撃から保護することを推奨します。
詳細については、セキュリティアドバイザリ『Cisco ASA and FTD Software Remote Access VPN Brute Force Denial of Service Vulnerability』を参照してください。
追加情報
- Cisco Firepower Threat Defenseの第一応答者向けフォレンジック調査手順
- Cisco Talos脅威アドバイザリ
- 詳細については、Technical Assistance Center(TAC)にお問い合わせください。有効なサポート契約が必要です。 各国のシスコ サポートの連絡先.
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
7.0 |
26-Oct-2024 |
「関連する動作」セクションを更新し、このドキュメントに関連する最新の脆弱性を追加。 |
6.0 |
20-Sep-2024 |
リモートアクセスVPNでサポートされるバージョンの脅威検出機能を更新。 |
5.0 |
06-Sep-2024 |
「リモートアクセスVPNの脅威検出の設定」の推奨事項を追加。 |
4.0 |
22-Apr-2024 |
「背景説明」と「推奨事項」のセクションを更新。 |
3.0 |
15-Apr-2024 |
リンクされたCisco Bug ID CSCwj45822、「ホストスキャントークンの枯渇」サブセクション、「RAVPNの強化機能の追加」セクションを追加 |
2.0 |
01-Apr-2024 |
文書のタイトルを更新し、「IoCs」セクションを「観察された異常なパターン」に名称変更し、「推奨事項」セクションに詳細を追加しました。 |
1.0 |
26-Mar-2024 |
初版 |
フィードバック