Citrix Netscaler este cea mai recentă țintă în atacurile extinse de tip password spray care vizează dispozitivele de rețea de margine și platformele cloud în acest an pentru a sparge rețelele corporative.
În martie, Cisco a raportat că actorii de amenințare desfășurau atacuri de tip password spray asupra dispozitivelor VPN Cisco. În unele cazuri, aceste atacuri au cauzat o stare de denial-of-service, permițând companiei să descopere o vulnerabilitate de tip DDoS pe care au remediat-o în octombrie.
În octombrie, Microsoft a avertizat că botnetul Quad7 abuza dispozitivele de rețea compromise TP-Link, Asus, Ruckus, Axentra și Zyxel pentru a efectua atacuri de tip password spray asupra serviciilor cloud.
Mai devreme în această săptămână, agenția de securitate cibernetică BSI din Germania a avertizat cu privire la numeroasele rapoarte conform cărora dispozitivele Citrix Netscaler sunt acum vizate în atacuri similare de tip password spray pentru a fura credențialele de autentificare și a sparge rețelele.
„BSI primește în prezent un număr tot mai mare de rapoarte privind atacuri de tip forță brută asupra porților Citrix Netscaler din diferite sectoare KRITIS și de la parteneri internaționali”, a declarat BSI.
Știrea despre aceste atacuri a fost raportată pentru prima dată de Born City săptămâna trecută, cititorii săi declarând că au început să experimenteze atacuri de tip forță brută asupra dispozitivelor Citrix Netscaler începând din noiembrie și continuând până în decembrie.
Cititorii au raportat că au primit între 20.000 și un milion de încercări de tip forță brută pentru credențialele de cont folosind o varietate de nume de utilizatori generice și alte nume văzute în atacurile de tip password spray includ nume de utilizatori, perechi nume.prenume și adrese de email.
Astăzi, Citrix a lansat un buletin de securitate avertizând cu privire la creșterea atacurilor de tip password spray asupra dispozitivelor Netscaler și a furnizat măsuri de atenuare pentru a reduce impactul acestora.
„Cloud Software Group a observat recent o creștere a atacurilor de tip password spraying îndreptate împotriva dispozitivelor NetScaler. Aceste atacuri sunt caracterizate de o creștere bruscă și semnificativă a încercărilor și eșecurilor de autentificare, care declanșează alerte în sistemele de monitorizare, inclusiv Gateway Insights și jurnalele Active Directory. Traficul de atac provine dintr-o gamă largă de adrese IP dinamice, făcând strategiile tradiționale de atenuare, cum ar fi blocarea IP-urilor și limitarea ratei, mai puțin eficiente.
Clienții care utilizează Gateway Service nu trebuie să ia măsuri de remediere. Doar dispozitivele NetScaler/NetScaler Gateway desfășurate pe site sau în infrastructura cloud necesită aceste măsuri de atenuare.
Citrix afirmă că atacurile de tip password spray provin dintr-o gamă largă de adrese IP, făcând dificilă blocarea acestor încercări folosind blocarea IP-urilor sau limitarea ratei.
Compania a avertizat, de asemenea, că un val brusc și mare de cereri de autentificare ar putea copleși dispozitivele Citrix Netscaler configurate pentru un volum normal de autentificare, ducând la o creștere a jurnalizării și la indisponibilitatea dispozitivelor sau la probleme de performanță.
Citrix afirmă că în atacurile observate, cererile de autentificare vizează endpointuri pre-nFactor, care sunt URL-uri de autentificare istorice folosite pentru compatibilitate cu configurațiile vechi.
Compania a împărtășit o serie de măsuri de atenuare care pot reduce impactul acestor atacuri, inclusiv:
Citrix afirmă că clienții care utilizează Gateway Service nu trebuie să aplice aceste măsuri, deoarece ele sunt destinate doar dispozitivelor NetScaler/NetScaler Gateway desfășurate pe site sau în cloud.
Compania afirmă că măsurile de atenuare sunt disponibile doar pentru versiunile de firmware NetScaler mai mari sau egale cu 13.0.
Mai multe instrucțiuni detaliate despre modul de aplicare a acestor măsuri de atenuare pot fi găsite în avizul Citrix.
Înțelegeți aceste șapte atacuri de tip password și cum să le opriți
Hackerii preiau paginile de autentificare Citrix NetScaler pentru a fura credențiale
Microsoft: Hackerii chinezi folosesc botnetul Quad7 pentru a fura credențiale
Noile funcționalități Cisco ASA și FTD blochează atacurile de tip brute-force asupra parolelor VPN
Hackerii iranieni acționează ca intermediari care vând acces la infrastructura critică
Leave a Reply