Citrix NetScaler Under Siege: Significant Increase in Brute Force Attacks Observed
2024/12/12 SecurityOnline — Citrix NetScaler デバイスを狙うブルートフォース攻撃の、ドイツでの大幅な増加が確認されている。それらの NetScaler デバイスは、サポーが切れた古いものや、ミスコンフィグされているものだと、CERT Germany や BSI (German Federal Office for Information Security ) が警告している。これまでにも、Citrix NetScaler デバイスは、サイバー犯罪者が多用する標的となっている。2024年初頭に、NetScaler ADC/NetScaler Gateway において、2件のゼロデイ脆弱性が明らかになっている。最近のブルートフォース攻撃の急増は、それらの脆弱性の悪用により発生しており、このプラットフォームが攻撃を受けやすいことを示している。
BSI が発した警告は、NetScaler デバイスのパスワードを推測する攻撃の増加に関するものである。これらのインシデントの報告は、重要インフラ分野で活動している組織や、国際的なパートナーから提供されており、重要サービスでの混乱の可能性が懸念されている。
NetScaler の古いデバイスや、ミスコンフィグされたデバイスを狙う攻撃が、大幅に増加していることに気づいたのは、サイバーセキュリティ企業 Cyderes である。
この攻撃は、香港の無名のクラウド・サービス・プロバイダーから発信され、さまざまなクライアント環境に影響を与えている。この活動の急増は、Citrix NetScaler 製品に影響を及ぼすとされる、最近になって公表された脆弱性の報告と一致している。
Cyderes が強調するのは、11月に公開/修正された、以下の脆弱性である:
- CVE-2024-8534 (CVSS:8.4):この脆弱性の悪用により、メモリ破損やサービス拒否 (DoS) が発生し、重要サービスの中断にいたる可能性がある。
- CVE-2024-8535 (CVSS:5.8):この脆弱性の悪用により、認証されたユーザーによる不正アクセスが達成され、機密データやシステムなどが不正に操作される可能性がある。
ユーザーに対して Citrix が強く推奨するのは、必要なアップデートを直ちに適用し、これらのリスクを軽減することだ。
Cyderes の専門家が確認したのは、攻撃者が分散ブルート フォース戦略を採用し、難読性を高めて検出を回避するために、 IP アドレスと ASN 番号を頻繁に変更していることだ。この戦術により、特定の IP アドレスまたはネットワークをブロックして、攻撃を緩和することが困難になっている。
これらの攻撃に対抗するために、Cyderes 推奨する対策は、以下の通りである:
- 高リスク IP 範囲のブロック:既知の悪意の IP 範囲および、高リスク IP 範囲をブロックすることで、侵害の可能性を大幅に低減できる。
- NetScaler デバイスの更新:現在もサポートされているバージョンへと更新し、すべての提供されているパッチを適用することが、既知の脆弱性に対処するために不可欠である。
- リモート・アクセスの無効化もしくは安全なコンフィグ:リモート・アクセスが不要な場合には、無効にする必要がある。また、必要な場合には、強力なパスワード/多要素認証/厳格なアクセス制御に加えて、セキュアなコンフィグが必要となる。
- 疑わしいアクティビティの監視:ログとネットワーク・トラフィックを定期的に監視し、疑わしいアクティビティを検出する必要がある。攻撃の迅速な検出において、不可欠なものである。
Citrix も、これらの推奨事項を支持している。加えて、タイムリーな更新と適切なデバイス・コンフィグ重要性を強調している。
Citrix NetScaler に対するブルートフォースの急増とのことですが、この記事を読む限りでは、CVE-2024-8534/8535 との関連性が、よく分かりません。とは言え、Citrix NetScaler が危険な状態にあることは確かなので、ご利用のチームは、ご注意ください。よろしければ、Citrix NetScaler で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.