シトリックス、現在進行中のNetscalerパスワードスプレー攻撃に対する緩和策を発表

Citrix Netscalerは、エッジネットワーキングデバイスやクラウドプラットフォームを標的とし、企業ネットワークに侵入するために今年広まったパスワードスプレー攻撃の最新の標的である。

Ciscoは3月、脅威者がCisco VPNデバイスに対してパスワードスプレー攻撃を行っていることを報告した。これらの攻撃によってサービス拒否状態に陥るケースもあり、同社は10月に修正したDDoS脆弱性を発見することができた。

10月、マイクロソフトは、Quad7ボットネットが侵害されたTP-Link、Asus、Ruckus、Axentra、Zyxelのネットワーキング・デバイスを悪用して、クラウド・サービスに対してパスワード・スプレー攻撃を行っていると警告した。

今週初め、ドイツのサイバーセキュリティ機関BSIは、Citrix Netscalerデバイスが同様のパスワードスプレー攻撃の標的になっており、ログイン認証情報を盗んでネットワークに侵入しているという多数の報告を警告した。

「BSIは現在、KRITISのさまざまな部門や国際的なパートナーから、Citrix Netscalerゲートウェイに対する総当たり攻撃の報告が増えている」とBSIは述べている。

この攻撃のニュースは、先週Born Cityによって最初に報告され、その読者は11月から12月にかけてCitrix Netscalerデバイスに対するブルートフォース攻撃を経験し始めたと述べている。

読者の中には、以下のようなさまざまな一般的なユーザー名を使用して、アカウント認証情報をブルートフォースしようとする20,000から100万の試みを受けたと報告している人もいた：

test、testuser1、veeam、sqlservice、scan、ldap、postmaster、vpn、fortinet、confluence、vpntest、stage、xerox、svscan、finance、sales。

パスワードスプレー攻撃で確認されたその他のユーザー名には、姓、名、姓と名のペア、および電子メールアドレスが含まれます。

Citrix がアドバイザリをリリース

本日、Citrix は、Netscaler デバイスに対するパスワード スプレー攻撃の急増を警告し、その影響を軽減する方法に関するセキュリティ勧告を発表した。

シトリックスによると、パスワードスプレー攻撃は広範なIPアドレスから発信されているため、IPブロッキングやレート制限を使用してこれらの試みをブロックすることは困難だという。

同社はさらに、突然大量の認証要求が殺到すると、通常のログイン量に設定されている Citrix Netscaler デバイスが圧倒され、ログが増加したり、デバイスが使用できなくなったり、パフォーマンスに問題が生じたりする可能性があると警告している。

Citrix社によると、今回確認された攻撃では、認証要求がpre-nFactorエンドポイントを標的にしており、これはレガシー構成との互換性のために使用される過去の認証URLである。

同社は、このような攻撃の影響を軽減するために、以下のような一連の緩和策を公開している：

• LDAP認証の前に多要素認証が設定されていることを確認する。
• この攻撃はIPアドレスを標的にしているため、Citrixは、指定された完全修飾ドメイン名（FQDN）に対して認証を試みない限り認証要求がドロップされるように、レスポンダポリシーを作成することを推奨します。
• 事前nFactor認証要求に関連するNetscalerエンドポイントは、環境に必要な場合を除き、ブロックします。
• Webアプリケーションファイアウォール（WAF）を活用して、以前の悪意のある動作によってレピュテーションが低くなったIPアドレスをブロックする。

Citrix社によると、Gateway Serviceを使用している顧客は、これらの緩和策を適用する必要はない。

また、この緩和策は、13.0以上のNetScalerファームウェアバージョンでのみ利用可能であるとしている。

これらの緩和策の適用方法に関する詳細は、Citrix のアドバイザリに記載されている。