Citrix Netscaler, bu yıl kurumsal ağları ihlal etmek için uç ağ cihazlarını ve bulut platformlarını hedef alan yaygın parola sprey saldırılarının en son hedefi oldu.
Mart ayında Cisco, tehdit aktörlerinin Cisco VPN cihazlarına şifre sprey saldırıları gerçekleştirdiğini bildirdi. Bazı durumlarda bu saldırılar hizmet reddi durumuna neden oldu ve şirketin Ekim ayında düzelttiği bir DDoS güvenlik açığını bulmasına olanak tanıdı.
Ekim ayında Microsoft, Quad7 botnet’in, bulut hizmetlerine şifre sprey saldırıları gerçekleştirmek için ele geçirilen TP-Link, Asus, Ruckus, Axentra ve Zyxel ağ cihazlarını kötüye kullandığı konusunda uyarmıştı.
Bu haftanın başlarında, Almanya’nın BSI siber güvenlik kurumu, Citrix Netscaler cihazlarının artık oturum açma kimlik bilgilerini çalmak ve ağları ihlal etmek için benzer şifre sprey saldırılarına hedeflendiğine dair çok sayıda rapor konusunda uyardı.
BSI, “BSI şu anda çeşitli KRITIS sektörlerinden ve uluslararası ortaklardan Citrix Netscaler ağ geçitlerine yönelik kaba kuvvet saldırılarına ilişkin giderek artan raporlar alıyor” dedi.
Saldırı haberi ilk olarak geçen hafta Born City tarafından bildirildi ve okurları Citrix Netscaler cihazlarında kasım ayında başlayıp aralık ayına kadar kaba kuvvet saldırıları yaşamaya başladıklarını belirtti.
Okuyuculardan bazıları, aşağıdakiler de dahil olmak üzere çeşitli genel kullanıcı adlarını kullanarak hesap kimlik bilgilerine kaba kuvvet uygulamak için 20.000 ila bir milyon arası girişimde bulunulduğunu bildirdi:
test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales.
Şifre spreyi saldırılarında görülen diğer kullanıcı adları arasında adlar, ad-soyad çiftleri ve e-posta adresleri yer alıyor.
Citrix tavsiye niteliğindeki tavsiyeleri yayınladı
Bugün Citrix, Netscaler cihazlarına yönelik parola sprey saldırılarındaki artışa ilişkin bir güvenlik bülteni yayınladı ve bunların etkilerinin nasıl azaltılacağına dair hafifletici önlemler sağladı.
“Bulut Yazılım Grubu, yakın zamanda NetScaler cihazlarına yönelik şifre püskürtme saldırılarında bir artış gözlemledi. Bu saldırılar, Gateway Insights ve Active Directory günlükleri de dahil olmak üzere izleme sistemleri genelinde uyarıları tetikleyen kimlik doğrulama girişimlerinde ve başarısızlıklarında ani ve önemli bir artışla karakterize edilir. saldırı trafiği geniş bir dinamik IP adresleri aralığından kaynaklanır ve bu da IP engelleme ve hız sınırlama gibi geleneksel hafifletme stratejilerinin etkinliğini azaltır.
Ağ Geçidi Hizmetini kullanan müşterilerin herhangi bir iyileştirici önlem almasına gerek yoktur. Yalnızca şirket içinde veya bulut altyapısında konuşlandırılan NetScaler/NetScaler Ağ Geçidi cihazları bu azaltımları gerektirir.”
❖ Citrix
Citrix, parola sprey saldırılarının çok çeşitli IP adreslerinden kaynaklandığını ve bu girişimlerin IP engelleme veya hız sınırlaması kullanılarak engellenmesini zorlaştırdığını söylüyor.
Şirket ayrıca, ani ve büyük miktardaki kimlik doğrulama isteklerinin, normal oturum açma hacmi için yapılandırılmış Citrix Netscaler cihazlarını bunaltabileceği, günlük kaydının artmasına ve cihazların kullanılamaz hale gelmesine veya performans sorunları yaşamasına neden olabileceği konusunda da uyardı.
Citrix, gözlemledikleri saldırılarda kimlik doğrulama isteklerinin, eski yapılandırmalarla uyumluluk için kullanılan geçmiş kimlik doğrulama URL’leri olan nFactor öncesi uç noktaları hedef aldığını söylüyor.
Şirket, bu saldırıların etkisini azaltabilecek bir dizi önlemi paylaştı:
- Çok faktörlü kimlik doğrulamanın LDAP faktöründen önce yapılandırıldığından emin olun.
- Saldırılar IP adreslerini hedef aldığından Citrix, kimlik doğrulama isteklerinin, belirli bir Tam Nitelikli Etki Alanı Adına (FQDN) karşı kimlik doğrulaması yapılmaya çalışılmadığı sürece iptal edilmesi için bir yanıtlayıcı politikası oluşturulmasını önerir.
- Ortamınız için gerekli olmadıkça, nFactor öncesi kimlik doğrulama istekleriyle ilişkili Netscaler uç noktalarını engelleyin.
- Önceki kötü amaçlı davranışlar nedeniyle itibarı düşük olan IP adreslerini engellemek için web uygulaması güvenlik duvarını (WAF) kullanın.
Citrix, Gateway Service’i kullanan müşterilerin bu azaltımları uygulamalarına gerek olmadığını, çünkü bunların yalnızca şirket içinde veya bulutta konuşlandırılan NetScaler/NetScaler Gateway cihazları için geçerli olduğunu söylüyor.
Şirket, azaltımların yalnızca 13.0’dan büyük veya ona eşit NetScaler ürün yazılımı sürümleri için de geçerli olduğunu söylüyor.
Bu azaltımların nasıl uygulanacağına ilişkin daha ayrıntılı talimatlar Citrix’in danışma belgesinde bulunabilir.