Cisco alerte ses utilisateurs sur une vague d’attaques ciblant les accès VPN
Cisco alerte ses clients sur la nécessité de bien configurer leur accès Remote Access VPN puisqu'ils sont pris pour cible par les pirates qui s'appuient sur une méthode bien connue : le password spraying. Faisons le point.
Les accès distants configurés sur les appareils Cisco Secure Firewall sont pris pour cible par une campagne d'attaques, lors de laquelle les pirates utilisent la méthode de password spraying. Cette technique, que l'on appelle en français la pulvérisation de mot de passe, consiste à tenter de se connecter à plusieurs comptes différents avec le même mot de passe, puis si cela échoue, un autre mot de passe est testé, et ainsi de suite. Les comptes avec un mot de passe faible ou ayant fait l'objet d'une fuite de données sont particulièrement vulnérable à cette attaque.
Le problème, c'est que cette attaque peut être à l'origine d'un déni de service puisque le compte ciblé est susceptible de se verrouiller s'il y a trop de tentatives infructueuses. De ce fait, le compte utilisateur ne peut plus être utilisé pendant un laps de temps correspondant à la durée du verrouillage. Dans ce cas, l'application Cisco Secure Client (AnyConnect) indique à l'utilisateur qu'il n'est pas en mesure de se connecter au VPN.
Au-delà de ce symptôme, Cisco mentionne que cette attaque génère de nombreux événements dans le journal à cause des échecs d'authentification.
Il est important de noter que d'après les chercheurs en sécurité de Cisco Talos, les équipements Cisco ne sont pas les seuls ciblés par cette campagne malveillante. "Talos a constaté que ces attaques ne se limitent pas aux produits Cisco, mais également aux concentrateurs VPN de tiers.", peut-on lire sur le site de Cisco.
D'après les informations obtenues par le site BleepingComputer, il pourrait s'agir d'actions effectuées par le botnet Brutus. Il est associé à 20 000 adresses IP différentes au niveau mondial et Brutus attaque les équipements Cisco, Fortinet, Palo Alto et SonicWall.
Les conseils de Cisco pour vous protéger
La publication de Cisco intègre plusieurs recommandations que les administrateurs peuvent appliquer pour mieux détecter ces attaques et s'en protéger.
- Envoyer les journaux vers un serveur SYSLOG distant de façon à pouvoir analyser les événements et détecter les comportements suspects.
- Empêcher l'utilisation des profils et tunnels par défaut (DefaultRAGroup et DefaultWEBVPNGroup) pour l'accès à distance par défaut, en les faisant pointer vers un serveur AAA sinkhole (destiné à de l'analyse, capture d'événements).
- Utilisation de la commande "shun" pour bloquer manuellement les adresses IP malveillantes, ce qui implique d'analyser les logs en amont.
- Configurer les ACL pour filtrer les adresses IP publiques non autorisées à initier des connexions VPN.
- Éviter d'utiliser la méthode d'authentification traditionnelle, afin de prioriser l'authentification par certificat pour le RAVPN.