Schutz vor Passwort-Spray-Angriffen auf Citrix Netscaler
In den letzten Monaten hat sich Citrix Netscaler als beliebtes Ziel von weit verbreiteten Passwort-Spray-Angriffen herausgestellt. Diese Angriffe zielen auf Edge-Netzwerkgeräte und Cloud-Plattformen ab, um Unternehmensnetzwerke zu kompromittieren. Bereits im März berichtete Cisco über ähnliche Angriffe auf ihre VPN-Geräte, die in einigen Fällen zu einem Denial-of-Service-Zustand führten. Im Oktober warnte Microsoft vor dem Quad7-Botnetz, das kompromittierte Netzwerkgeräte verschiedener Hersteller nutzte, um Passwort-Spray-Angriffe auf Cloud-Dienste durchzuführen.
Aktuelle Bedrohungslage
Kürzlich warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zahlreichen Berichten über Angriffe auf Citrix Netscaler-Geräte. Diese Angriffe zielen darauf ab, Anmeldeinformationen zu stehlen und Netzwerke zu kompromittieren. Laut BSI gibt es vermehrt Berichte über Brute-Force-Angriffe auf Citrix Netscaler-Gateways aus verschiedenen KRITIS-Sektoren und von internationalen Partnern.
Die ersten Berichte über diese Angriffe kamen von Born City, deren Leser seit November eine Zunahme von Brute-Force-Angriffen auf ihre Citrix Netscaler-Geräte meldeten. Einige Leser berichteten von bis zu einer Million Versuchen, die Kontozugangsdaten mit generischen Benutzernamen wie "test", "testuser1", "veeam" und vielen anderen zu knacken.
Citrix veröffentlicht Sicherheitsmaßnahmen
Citrix hat nun eine Sicherheitsmitteilung herausgegeben, in der sie vor dem Anstieg der Passwort-Spray-Angriffe auf Netscaler-Geräte warnen und Maßnahmen zur Minderung der Auswirkungen dieser Angriffe vorstellen. Die Angriffe zeichnen sich durch eine plötzliche und signifikante Zunahme von Authentifizierungsversuchen und -fehlern aus, die Alarme in Überwachungssystemen auslösen.
Empfohlene Maßnahmen von Citrix:
- Multi-Faktor-Authentifizierung (MFA): Stellen Sie sicher, dass MFA vor dem LDAP-Faktor konfiguriert ist.
- Responder-Policy: Erstellen Sie eine Responder-Policy, um Authentifizierungsanfragen abzulehnen, es sei denn, sie versuchen, sich gegen einen bestimmten Fully Qualified Domain Name (FQDN) zu authentifizieren.
- Blockierung von Endpunkten: Blockieren Sie Netscaler-Endpunkte, die mit pre-nFactor-Authentifizierungsanfragen verbunden sind, es sei denn, sie sind für Ihre Umgebung notwendig.
- Web Application Firewall (WAF): Nutzen Sie die WAF, um IP-Adressen mit einem niedrigen Ruf aufgrund früheren bösartigen Verhaltens zu blockieren.
Citrix betont, dass Kunden, die den Gateway Service nutzen, diese Maßnahmen nicht ergreifen müssen. Die Maßnahmen sind nur für NetScaler/NetScaler Gateway-Geräte erforderlich, die vor Ort oder in der Cloud eingesetzt werden. Zudem sind die Maßnahmen nur für NetScaler-Firmware-Versionen ab 13.0 verfügbar.
Wir empfehlen dringend, die empfohlenen Maßnahmen von Citrix umsetzen, um ihre Netzwerke vor diesen Bedrohungen zu schützen und die Integrität ihrer Systeme zu gewährleisten. Selbstverständlich können Sie sich dabei auf die Expertise unserer Citrix Expert:innen verlassen.
Nehmen Sie bei Bedarf bitte jederzeit formlos Kontakt über Ihre bekannten Ansprechpartner:innen oder via hallo@enthus.de auf.