Citrix Warns of Password Spraying Attacks Targeting NetScaler Appliances
2024/12/16 SecurityWeek — Citrix が発している警告は、世界中の企業で導入されている NetScaler/NetScaler Gateway アプライアンスを標的とした、パスワード・スプレー攻撃に関するものだ。2024年4月に観測されたインシデントとして、Cisco/CheckPoint/Fortinet/SonicWall などの VPN/SSH サービスを標的とする、大規模なブルートフォース攻撃があるが、今回の攻撃との関連性が疑われる。
そのときのブルートフォース攻撃に関連する脆弱性に対して、Cisco は10月初旬のパッチ適用で対処している。そして、同じく 10月には Microsoft から、複数のベンダーのルーターを標的とする、パスワード・スプレー攻撃に関する警告が発表されている。
ブルートフォース (総当たり) 攻撃とは、認証情報の不正取得の手法であり、同一アカウントに対して、複数のパスワードを試みるというものだ。その一方で、パスワード・スプレー攻撃では、複数のアカウントに対して少数のパスワードが試される。
Citrix によると、NetScaler アプライアンスを標的とするパスワード・スプレー攻撃が、複数の組織で確認されているという。これらの攻撃から、サービス拒否 (DoS) 状態へとつながる可能性があるため、早急な対策が必要である。
同社はアドバイザリで、「NetScaler アプライアンスが、通常の認証試行のボリュームを処理するよう設定されている場合において、この問題が発生する。つまり、大規模なパスワード・スプレー攻撃により、多数のログイン試行が実行されると、アプライアンスが過負荷となり、場合によってはサービスや運用が中断する可能性が生じる」と述べている。
Citrix によると、標的とされた組織では、複数の動的 IP アドレスから発信されるトラフィックにより、認証の試行/失敗が急増するという。その標的になるのは、オンプレミス/クラウドに展開された NetScaler アプライアンスである。
それらの不正アクセスに対して、多要素認証 (MFA) による阻止が可能であると、Citrix は述べている。しかし、過剰なログ記録や管理 CPU の過負荷は、運用に影響を及ぼす可能性があり、アプライアンスが不安定になり、クラッシュする可能性もある。
Citrix は、それらの攻撃を特定するための、侵害の兆候 (IoC) を提供している。同社が企業に推奨するのは、MFA の有効化と、不正な認証要求が処理される前にブロックするポリシーの作成である。
また、以下の対策も、攻撃を軽減するのに役立つだろう:
- 既知の悪意の IP アドレスからの認証要求をブロックする。
- ログのローテーションに対して短い間隔を設定し、ログのサイズが急増してストレージが圧迫されるのを防ぐ。
- NetScaler で reCAPTCHA を有効化する。
パスワード・スプレーから DDoS にいたるという、ちょっと分かり難い話ですが、ロジックに、なんらかの問題があったのでしょうか? それとも、パスワード・スプレーには、ありがちな話なのでしょうか? そのあたりがよく分かりませんが、ご利用のチームは、ご注意ください。よろしければ Citrix で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.