聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
3月份,思科报道称网络威胁者正在针对思科VPN设备发动密码喷射攻击。在某些情况下,这些攻击可导致拒绝服务状态,使思科最终从中发现了一个DDoS 漏洞并在10月份修复。10月份,微软提醒称 Quad7 僵尸网络滥用TP-Link、华硕、Ruckus、Axentra 和合勤网络设备对云服务发动密码喷射攻击。
本周早些时候,德国BSI网络安全机构援引多份报告提醒称,Citrix Netscaler 设备目前正遭类似的密码喷射攻击,攻击者的目的是窃取登录凭据并攻陷网络。BSI提到,“BSI 目前收到越来越多的报告称,关键基础设施行业和国际合作伙伴的Citrix Netscaler 网关遭暴力攻击。”
上周,媒体Born City 率先报道了这些攻击活动。该媒体读者表示自己的 Citrix Netscaler 设备从11月开始一直到12月一直在经历暴力攻击。其中一些读者表示攻击者使用多种通用用户名称(test、testuser1、veeam、sqlservice、scan、ldap、postmaster、vpn、fortinet、confluence、vpntest、stage、xerox、svcscan、finance、sales)对账户凭据发动暴力尝试,次数介于2万到100万次之间。密码喷射攻击中的其它用户名称还包括姓名、姓氏和名字组合以及邮件地址。
Citrix 公司发布安全通告,提醒注意不断增多的针对Netscaler 设备的密码喷射攻击,并提供了降低这些影响的缓解措施。
Citrix 公司提到,“Cloud Software Group 最近发现针对NetScaler 设备的密码喷射攻击在增多。这些攻击的认证尝试和失败事发突然且次数突然增多,因此触发了监控系统如Gateway Insights 和 Active Directory 日志的告警。该攻击流量源自大范围的动态IP地址,导致传统的缓解策略如 IP 拦截和速率限制的有效性下降。Gateway Service 用户无需采取任何缓解措施。只有本地部署和在云基础设施上部署的 NetScaler/NetScaler Gateway 设备需要应用这些缓解措施。”
Citrix 公司进一步提到,突然的大量认证请求可能会使配置为正常登录量的Citrix NetScaler 设备不堪重负,导致日志增多且导致设备不可用或产生性能问题。该公司提到,从所观测到的攻击来看,认证请求攻击针对的nFactor 机制推出前的端点,这些端点用于兼容遗留配置的历史认证URL。
Citrix 公司还分享了降低这些攻击影响的一系列缓解措施,包括:
-
确保在LDAP因素之前配置了多因素认证机制。
-
由于攻击针对的是IP地址,Citrix 公司建议创建响应策略,以便释放认证请求,除非它们尝试针对特定的完全限定域名 (FQDN) 进行认证。
-
拦截与nFactor 机制推出前的认证请求相关联的 Netscaler 端点,除非它们是所在环境所必要的。
-
使用WAF 拦截因此前恶意行为而导致低声誉的IP地址。
Citrix 公司提到,这些缓解措施仅适用于 NetScaler 固件的13.0或以上版本。该公司还在安全公告中给出了如何应用这些缓解措施的详细指南。
原文始发于微信公众号(代码卫士):Citrix 分享Netscaler 密码喷射攻击的缓解措施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论