Citrix Netscaler ist das jüngste Ziel der weit verbreiteten Passwort-Spray-Angriffe, die in diesem Jahr auf Edge-Networking-Geräte und Cloud-Plattformen abzielen, um in Unternehmensnetzwerke einzudringen.
Im März berichtete Cisco, dass Bedrohungsakteure Passwort-Spray-Angriffe auf Cisco-VPN-Geräte durchführten. In einigen Fällen führten diese Angriffe zu einem Denial-of-Service-Zustand, so dass das Unternehmen eine DDoS-Schwachstelle fand, die es im Oktober behoben hat.
Im Oktober warnte Microsoft, dass das Quad7-Botnet kompromittierte TP-Link-, Asus-, Ruckus-, Axentra- und Zyxel-Netzwerkgeräte missbraucht, um Passwort-Spray-Angriffe auf Cloud-Dienste durchzuführen.
Anfang dieser Woche warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zahlreichen Berichten, wonach Citrix Netscaler-Geräte nun Ziel ähnlicher Passwort-Spray-Angriffe sind, um Anmeldedaten zu stehlen und in Netzwerke einzudringen.
"Das BSI erhält derzeit vermehrt Meldungen über Brute-Force-Angriffe auf Citrix Netscaler Gateways aus verschiedenen KRITIS-Bereichen und von internationalen Partnern", so das BSI.
Die Nachricht über die Angriffe wurde zuerst von Born City letzte Woche berichtet, deren Leser angaben, dass sie seit November und bis in den Dezember hinein Brute-Force-Angriffe auf ihre Citrix Netscaler-Geräte erlebt hatten.
Einige der Leser berichteten, dass sie zwischen 20.000 und einer Million Versuche erhielten, die Zugangsdaten ihres Kontos mit einer Vielzahl von generischen Benutzernamen zu erzwingen, darunter die folgenden:
test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales.
Andere Benutzernamen, die bei den Passwort-Spray-Angriffen auftauchen, sind Vornamen, Vor- und Nachnamenpaare sowie E-Mail-Adressen.
Citrix veröffentlicht Empfehlung
Heute hat Citrix ein Sicherheitsbulletin veröffentlicht, in dem vor der Zunahme von Passwort-Spray-Angriffen auf Netscaler-Geräte gewarnt wird und Maßnahmen zur Verringerung der Auswirkungen vorgestellt werden.
"Die Cloud Software Group hat in letzter Zeit eine Zunahme von Passwort-Spraying-Angriffen auf NetScaler-Appliances beobachtet. Diese Angriffe zeichnen sich durch einen plötzlichen und signifikanten Anstieg von Authentifizierungsversuchen und -fehlern aus, die in Überwachungssystemen, einschließlich Gateway Insights und Active Directory-Protokollen, Alarme auslösen. Der Angriffsverkehr stammt von einer Vielzahl dynamischer IP-Adressen, so dass herkömmliche Abwehrstrategien wie IP-Blockierung und Ratenbegrenzung weniger effektiv sind.
Kunden, die Gateway Service nutzen, müssen keine Abhilfemaßnahmen ergreifen. Nur NetScaler/NetScaler Gateway Appliances, die vor Ort oder in der Cloud-Infrastruktur eingesetzt werden, benötigen diese Abhilfemaßnahmen."
❖ Citrix
Laut Citrix kommen die Passwort-Spray-Angriffe von einer Vielzahl von IP-Adressen, so dass es schwierig ist, diese Versuche durch IP-Blockierung oder Ratenbegrenzung zu verhindern.
Das Unternehmen warnte weiter, dass ein plötzlicher, großer Ansturm von Authentifizierungsanfragen Citrix Netscaler-Geräte überfordern könnte, die für ein normales Anmeldevolumen konfiguriert sind, was zu einer verstärkten Protokollierung führt und dazu, dass Geräte nicht mehr verfügbar sind oder Leistungsprobleme haben.
Laut Citrix zielten die Authentifizierungsanfragen bei den beobachteten Angriffen auf pre-nFactor-Endpunkte ab, bei denen es sich um historische Authentifizierungs-URLs handelt, die für die Kompatibilität mit älteren Konfigurationen verwendet werden.
Das Unternehmen hat eine Reihe von Abhilfemaßnahmen mitgeteilt, die die Auswirkungen dieser Angriffe verringern können, darunter:
Sicherstellen, dass die Multi-Faktor-Authentifizierung vor dem LDAP-Faktor konfiguriert ist.
Da die Angriffe auf IP-Adressen abzielen, empfiehlt Citrix, eine Responder-Richtlinie zu erstellen, so dass Authentifizierungsanfragen verworfen werden, wenn sie nicht versuchen, sich mit einem bestimmten Fully Qualified Domain Name (FQDN) zu authentifizieren.
Blockieren Sie Netscaler-Endpunkte, die mit Pre-NFactor-Authentifizierungsanfragen verbunden sind, sofern sie nicht für Ihre Umgebung erforderlich sind.
Nutzen Sie die Web Application Firewall (WAF), um IP-Adressen zu blockieren, die aufgrund früheren bösartigen Verhaltens einen schlechten Ruf haben.
Citrix sagt, dass Kunden, die den Gateway Service nutzen, diese Abschwächungen nicht anwenden müssen, da sie nur für NetScaler/NetScaler Gateway-Geräte gelten, die vor Ort oder in der Cloud eingesetzt werden.
Das Unternehmen gibt an, dass die Abhilfemaßnahmen nur für NetScaler-Firmware-Versionen größer oder gleich 13.0 verfügbar sind.
Genauere Anweisungen zur Anwendung dieser Abhilfemaßnahmen finden Sie in der Citrix-Anleitung.
