Citrix Netscaler es el último objetivo de ataques generalizados de rociado de contraseñas dirigidos a dispositivos de redes perimetrales y plataformas en la nube este año para vulnerar las redes corporativas.
En marzo, Cisco informó que los actores de amenazas estaban realizando ataques de rociado de contraseñas en los dispositivos VPN de Cisco. En algunos casos, estos ataques provocaron un estado de denegación de servicio, lo que le permitió a la empresa encontrar una vulnerabilidad DDoS que solucionaron en octubre.
En octubre, Microsoft advirtió que la botnet Quad7 estaba abusando de dispositivos de red comprometidos TP-Link, Asus, Ruckus, Axentra y Zyxel para realizar ataques de rociado de contraseñas en servicios en la nube.
A principios de esta semana, la agencia de ciberseguridad BSI de Alemania advirtió sobre numerosos informes que indican que los dispositivos Citrix Netscaler ahora son el objetivo de ataques de rociado de contraseñas similares para robar credenciales de inicio de sesión y violar las redes.
«Actualmente, la BSI está recibiendo cada vez más informes de ataques de fuerza bruta contra puertas de enlace Citrix Netscaler por parte de varios sectores de KRITIS y de socios internacionales», afirmó la BSI.
La noticia de los ataques fue reportada por primera vez por Born City la semana pasada, cuyos lectores declararon que habían comenzado a experimentar ataques de fuerza bruta en sus dispositivos Citrix Netscaler a partir de noviembre y hasta diciembre.
Algunos de los lectores informaron haber recibido entre 20.000 y un millón de intentos de forzar las credenciales de la cuenta utilizando una variedad de nombres de usuario genéricos, incluidos los siguientes:
test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales.
Otros nombres de usuario vistos en los ataques de pulverización de contraseñas incluyen nombres de pila, pares de nombre y apellido y direcciones de correo electrónico.
Citrix publica un aviso
Hoy, Citrix publicó un boletín de seguridad advirtiendo sobre el aumento de ataques de rociado de contraseñas en dispositivos Netscaler y brindó mitigaciones sobre cómo reducir su impacto.
"Cloud Software Group ha observado recientemente un aumento de los ataques de rociado de contraseñas dirigidos a los dispositivos NetScaler. Estos ataques se caracterizan por un aumento repentino y significativo de los intentos y fallos de autenticación, que activan alertas en los sistemas de monitorización, incluidos Gateway Insights y los registros de Active Directory. El tráfico de ataque se origina en una amplia gama de direcciones IP dinámicas, lo que hace que las estrategias de mitigación tradicionales, como el bloqueo de IP y la limitación de velocidad, sean menos efectivas.Los clientes que utilizan Gateway Service no necesitan tomar ninguna medida correctiva. Solo los dispositivos NetScaler/NetScaler Gateway implementados en las instalaciones o en la infraestructura de la nube requieren estas medidas de mitigación.
PRUEBAS «DAST» DE SEGURIDAD DE APLICACIONES WEB
Escanee fácilmente en lugares a los que la mayoría de los escáneres DAST de vulnerabilidades no pueden llegar.
Conocer..
Citrix afirma que los ataques de rociado de contraseñas se originan desde una amplia gama de direcciones IP, lo que dificulta bloquear estos intentos mediante el bloqueo de IP o la limitación de velocidad.
La compañía advirtió además que una avalancha repentina de solicitudes de autenticación podría saturar los dispositivos Citrix Netscaler que están configurados para un volumen de inicio de sesión normal, lo que genera un aumento en el registro y hace que los dispositivos no estén disponibles o tengan problemas de rendimiento.
Citrix dice que en los ataques que observaron, las solicitudes de autenticación apuntaban a puntos finales anteriores a nFactor, que son URL de autenticación históricas utilizadas para la compatibilidad con configuraciones heredadas.
La compañía ha compartido una serie de mitigaciones que pueden reducir el impacto de estos ataques, entre ellas:
- Asegurarse de que la autenticación multifactor esté configurada antes del factor LDAP.
- Como los ataques apuntan a direcciones IP, Citrix recomienda crear una política de respuesta para que las solicitudes de autenticación se descarten a menos que intenten autenticarse contra un nombre de dominio completo (FQDN) específico.
- Bloquee los puntos finales de Netscaler asociados con solicitudes de autenticación previas a nFactor a menos que sean necesarios para su entorno.
- Utilice el firewall de aplicaciones web (WAF) para bloquear direcciones IP con baja reputación causada por un comportamiento malicioso anterior.
Conclusión
Citrix afirma que los clientes que utilizan Gateway Service no necesitan aplicar estas mitigaciones, ya que solo son para dispositivos NetScaler/NetScaler Gateway implementados en las instalaciones o en la nube.
La compañía dice que las mitigaciones también solo están disponibles para versiones de firmware de NetScaler mayores o iguales a 13.0.
Se pueden encontrar instrucciones más detalladas sobre cómo aplicar estas mitigaciones en el aviso de Citrix .
Fuente: bleepingcomputer
