Citrix Netscaler é o mais recente alvo em ataques generalizados de password spray que miram dispositivos de rede de borda e plataformas em nuvem este ano para invadir redes corporativas.
Em março, a Cisco relatou que atores de ameaças estavam conduzindo ataques de password spray em dispositivos Cisco VPN.
Em alguns casos, esses ataques causaram um estado de negação de serviço (denial-of-service), permitindo que a empresa descobrisse uma vulnerabilidade DDoS que foi corrigida em outubro.
Em outubro, a Microsoft alertou que o botnet Quad7 estava abusando de dispositivos de rede comprometidos da TP-Link, Asus, Ruckus, Axentra e Zyxel para realizar ataques de password spray em serviços de nuvem.
No início desta semana, a agência de cibersegurança da Alemanha, BSI, alertou sobre inúmeros relatos de que dispositivos Citrix Netscaler agora estão sendo visados em ataques de password spray similares para roubar credenciais de login e invadir redes.
"O BSI está atualmente recebendo relatos crescentes de ataques de força bruta contra gateways Citrix Netscaler de vários setores KRITIS e de parceiros internacionais", disse o BSI.
A notícia dos ataques foi relatada pela primeira vez por Born City na semana passada, cujos leitores afirmaram que começaram a experimentar ataques de força bruta em seus dispositivos Citrix Netscaler a partir de novembro e continuando em dezembro.
Alguns dos leitores relataram receber entre 20.000 a um milhão de tentativas de forçar a entrada nas credenciais da conta usando uma variedade de nomes de usuário genéricos, incluindo os seguintes:
Outros nomes de usuários vistos nos ataques de password spray incluem primeiros nomes, pares de primeiro.último nome e endereços de email.
Hoje, a Citrix divulgou um boletim de segurança alertando sobre o aumento de ataques de password spray em dispositivos Netscaler e forneceu mitigações sobre como reduzir seu impacto.
A Citrix diz que os ataques de password spray estão originando de uma ampla gama de endereços IP, tornando difícil bloquear essas tentativas usando bloqueio de IP ou limitação de taxa.
A empresa ainda alertou que um súbito e grande influxo de solicitações de autenticação pode sobrecarregar dispositivos Citrix Netscaler configurados para um volume normal de login, levando a um aumento de registros e causando indisponibilidade ou problemas de desempenho dos dispositivos.
A Citrix diz que, nos ataques observados, as solicitações de autenticação visavam endpoints pré-nFactor, que são URLs de autenticação históricas usadas para compatibilidade com configurações legadas.
A empresa compartilhou uma série de mitigações que podem reduzir o impacto desses ataques, incluindo:
- Garantir que a autenticação multifator esteja configurada antes do fator LDAP.
- Como os ataques estão mirando endereços IP, a Citrix recomenda criar uma política de resposta para que solicitações de autenticação sejam descartadas a menos que tentem se autenticar contra um Nome de Domínio Totalmente Qualificado (FQDN) especificado.
- Bloquear endpoints Netscaler associados a solicitações de autenticação pré-nFactor, a menos que sejam necessários para o seu ambiente.
- Utilizar o firewall de aplicativos web (WAF) para bloquear endereços IP com baixa reputação causada por comportamento malicioso anterior.
A Citrix diz que clientes usando o Gateway Service não precisam aplicar essas mitigações, pois elas são apenas para dispositivos NetScaler/NetScaler Gateway implantados no local ou na nuvem.
A empresa afirma que as mitigações também estão disponíveis apenas para versões de firmware do NetScaler superiores ou iguais a 13.0.
Mais detalhes sobre como aplicar essas mitigações podem ser encontrados no comunicado da Citrix.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...