A Cisco está alertando seus clientes sobre ataques de pulverização de senhas (password spraying) que têm como alvo os serviços de VPN de Acesso Remoto (RAVPN) configurados em dispositivos Cisco Secure Firewall. A empresa publicou um documento com recomendações contra esses ataques, que também visam concentradores de VPN de terceiros.

A Cisco, através de sua equipe Talos, observou que esses ataques não se limitam apenas aos produtos da Cisco, mas também afetam outros concentradores de VPN. A pulverização de senhas é um tipo de ataque de força bruta em que o invasor usa uma senha (por exemplo, Secure@123) contra várias contas diferentes em uma aplicação para evitar bloqueios de conta que normalmente ocorreriam ao tentar muitas senhas em uma única conta.

A Cisco compartilhou Indicadores de Comprometimento (IoC) para esses ataques, incluindo a incapacidade de estabelecer conexões VPN com o Cisco Secure Client (AnyConnect) quando o Firewall Posture (HostScan) está ativado e um número incomum de solicitações de autenticação.

Entre as recomendações para se defender desses ataques, a Cisco sugere habilitar o registro em um servidor syslog remoto para melhor correlação e auditoria de incidentes de rede e segurança, proteger perfis de conexão VPN de acesso remoto padrão, utilizar o TCP shun para bloquear um IP malicioso, configurar ACLs no plano de controle no ASA/FTD para filtrar IPs públicos não autorizados e usar autenticação baseada em certificados para RAVPN.