Citrix Netscaler est la dernière cible d’attaques par pulvérisation de mots de passe généralisées ciblant les périphériques réseau périphériques et les plates-formes cloud cette année pour violer les réseaux d’entreprise.
En mars, Cisco a signalé que des auteurs de menaces menaient des attaques par pulvérisation de mots de passe sur les périphériques VPN Cisco. Dans certains cas, ces attaques ont provoqué un état de déni de service, permettant à l’entreprise de trouver une vulnérabilité DDoS qu’elle a corrigée en octobre.
En octobre, Microsoft a averti que le botnet Quad7 abusait des périphériques réseau compromis TP-Link, Asus, Ruckus, Axentra et Zyxel pour effectuer des attaques par pulvérisation de mots de passe sur les services cloud.
Plus tôt cette semaine, l’agence allemande de cybersécurité BSI a mis en garde contre de nombreux rapports selon lesquels les appareils Citrix Netscaler sont désormais la cible d’attaques par pulvérisation de mots de passe similaires pour voler les identifiants de connexion et violer les réseaux.
« Le BSI reçoit actuellement de plus en plus de rapports d’attaques par force brute contre les passerelles Citrix Netscaler de divers secteurs KRITIS et de partenaires internationaux », a déclaré le BSI.
La nouvelle des attaques a été rapportée pour la première fois par Born City la semaine dernière, dont les lecteurs ont déclaré qu’ils avaient commencé à subir des attaques par force brute sur leurs appareils Citrix Netscaler à partir de novembre et se poursuivant jusqu’en décembre.
Certains lecteurs ont signalé avoir reçu entre 20 000 et un million de tentatives de force brute sur les informations d’identification du compte en utilisant divers noms d’utilisateur génériques, notamment les suivants:
test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales.Les autres noms d’utilisateur vus dans les attaques par pulvérisation de mots de passe incluent les prénoms, d’abord.paires de noms de famille et adresses e-mail.
Avis de publication de Citrix
Aujourd’hui, Citrix a publié un bulletin de sécurité avertissant de la légère augmentation des attaques par pulvérisation de mots de passe sur les appareils Netscaler et a fourni des mesures d’atténuation sur la façon de réduire leur impact.
« Cloud Software Group a récemment observé une augmentation des attaques par pulvérisation de mots de passe dirigées contre les appliances NetScaler. Ces attaques se caractérisent par une augmentation soudaine et significative des tentatives et des échecs d’authentification, qui déclenchent des alertes sur l’ensemble des systèmes de surveillance, y compris Gateway Insights et les journaux Active Directory. Le trafic d’attaque provient d’une large gamme d’adresses IP dynamiques, ce qui rend les stratégies d’atténuation traditionnelles telles que le blocage des adresses IP et la limitation du débit moins efficaces.
Les clients utilisant le service de passerelle n’ont pas besoin de prendre de mesures correctives. Seules les appliances NetScaler / NetScaler Gateway déployées sur site ou dans une infrastructure cloud nécessitent ces atténuations. »
❖ Réseau
Citrix indique que les attaques par pulvérisation de mots de passe proviennent d’une large gamme d’adresses IP, ce qui rend difficile le blocage de ces tentatives à l’aide du blocage IP ou de la limitation du débit.
La société a en outre averti qu’un afflux soudain et important de demandes d’authentification pourrait submerger les périphériques Citrix Netscaler configurés pour un volume de connexion normal, entraînant une augmentation de la journalisation et entraînant l’indisponibilité des périphériques ou des problèmes de performances.
Citrix indique que dans les attaques qu’ils ont observées, les demandes d’authentification ciblaient les points de terminaison pré-nFactor, qui sont des URL d’authentification historiques utilisées pour la compatibilité avec les configurations héritées.
L’entreprise a partagé une série d’atténuations qui peuvent réduire l’impact de ces attaques, notamment:
- S’assurer que l’authentification multifacteur est configurée avant le facteur LDAP.
- Étant donné que les attaques ciblent les adresses IP, Citrix recommande de créer une stratégie de répondeur afin que les demandes d’authentification soient abandonnées à moins qu’elles ne tentent de s’authentifier par rapport à un Nom de domaine complet (FQDN) spécifié.
- Bloquez les points de terminaison Netscaler associés aux demandes d’authentification pré-facteur, sauf s’ils sont nécessaires pour votre environnement.
- Utilisez le pare-feu d’application Web (WAF) pour bloquer les adresses IP dont la réputation est faible en raison d’un comportement malveillant antérieur.
Citrix indique que les clients utilisant le service de passerelle n’ont pas besoin d’appliquer ces atténuations, car elles concernent uniquement les périphériques NetScaler/NetScaler Gateway déployés sur site ou dans le cloud.
La société indique que les atténuations ne sont également disponibles que pour les versions de micrologiciel NetScaler supérieures ou égales à 13.0.