Ataques de Password Spray y DDoS a Citrix Netscaler
Citrix Netscaler es el último objetivo de los ataques generalizados de password spray ("rociado de contraseñas") dirigidos a dispositivos de redes perimetrales y plataformas en la nube este año para vulnerar las redes corporativas.
En marzo, Cisco informó que los actores de amenazas estaban realizando ataques de rociado de contraseñas en los dispositivos VPN de Cisco. En algunos casos, estos ataques provocaron un estado de denegación de servicio, lo que permitió a la empresa encontrar una vulnerabilidad DDoS que solucionaron en octubre.
En octubre, Microsoft advirtió que la botnet Quad7 estaba abusando de los dispositivos de red TP-Link, Asus, Ruckus, Axentra y Zyxel comprometidos para realizar ataques de rociado de contraseñas en servicios en la nube.
Esta semana, la agencia de ciberseguridad alemana BSI advirtió sobre numerosos informes de que los dispositivos Citrix Netscaler ahora son el objetivo de ataques de rociado de contraseñas similares para robar credenciales y vulnerar las redes. "Actualmente, la BSI está recibiendo cada vez más informes de ataques de fuerza bruta contra las puertas de enlace de Citrix Netscaler de varios sectores de KRITIS y de socios internacionales", dijo la BSI.
La semana pasada, Born City fue el primero en informar sobre los ataques, cuyos lectores afirmaron que habían comenzado a experimentar ataques de fuerza bruta en sus dispositivos Citrix Netscaler a partir de noviembre y durante diciembre.
Algunos de los lectores informaron haber recibido entre 20.000 y un millón de intentos de forzar las credenciales de las cuentas utilizando una variedad de nombres de usuario genéricos, incluidos los siguientes:
test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales
Otros nombres de usuario que se vieron en los ataques de rociado de contraseñas incluyen nombres de pila, pares de nombre y apellido y direcciones de correo electrónico.
Citrix publicó un aviso
Citrix publicó un boletín de seguridad en el que advierte sobre el aumento de los ataques de rociado de contraseñas en dispositivos Netscaler y ofrece mitigaciones sobre cómo reducir su impacto.
Citrix afirma que los ataques de rociado de contraseñas se originan en una amplia gama de direcciones IP, lo que dificulta bloquear estos intentos mediante el bloqueo de IP o la limitación de velocidad.
La empresa advirtió además que una oleada repentina y grande de solicitudes de autenticación podría saturar los dispositivos Citrix Netscaler que están configurados para un volumen de inicio de sesión normal, lo que genera un aumento de los registros y hace que los dispositivos no estén disponibles o tengan problemas de rendimiento.
Citrix afirma que en los ataques que observaron, las solicitudes de autenticación se dirigían a puntos finales anteriores a nFactor, que son URL de autenticación históricas que se utilizan para la compatibilidad con configuraciones heredadas.
La empresa ha compartido una serie de mitigaciones que pueden reducir el impacto de estos ataques, entre ellas:
- Asegurarse de que la autenticación multifactor esté configurada antes del factor LDAP.
- Como los ataques se dirigen a direcciones IP, Citrix recomienda crear una política de respuesta para que las solicitudes de autenticación se descarten a menos que intenten autenticarse contra un nombre de dominio completo (FQDN) específico.
- Bloquee los puntos finales de Netscaler asociados con solicitudes de autenticación anteriores a nFactor a menos que sean necesarias para su entorno. Utilice el firewall de aplicaciones web (WAF) para bloquear direcciones IP con una reputación baja causada por un comportamiento malicioso previo.
- Citrix afirma que los clientes que utilizan Gateway Service no necesitan aplicar estas mitigaciones, ya que solo son para dispositivos NetScaler/NetScaler Gateway implementados en las instalaciones o en la nube.
La empresa afirma que las mitigaciones también solo están disponibles para versiones de firmware de NetScaler mayores o iguales a 13.0.
Fuente: BC
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!