Citrix издаде ново предупреждение за атаки с пръскане на пароли, насочени към устройствата NetScaler и NetScaler Gateway, използвани от организации в цял свят.
Изглежда, че атаките са свързани с широка кампания, която първоначално беше подробно описана през април 2024 г., насочена към VPN и SSH услуги от Cisco, CheckPoint, Fortinet, SonicWall и други организации, за да ги изтръгне с груба сила.
В началото на октомври Cisco закърпи уязвимост, свързана с тези атаки, а по-късно същия месец Microsoft предупреди за атаки с пръскане на пароли, насочени към маршрутизатори от множество доставчици.
За разлика от атаките с груба сила, при които хакерите изпробват множество пароли за един и същи акаунт, при атаките с пръскане на пароли те изпробват малък набор от пароли за множество акаунти.
Сега Citrix заявява, че знае за множество организации, които са обект на атаки с пръскане на пароли, насочени към техните устройства NetScaler, които могат да доведат до отказ на услуга (DoS) и изискват спешно смекчаване на последиците.
„Когато устройството NetScaler е оразмерено за обработка на типичен обем опити за удостоверяване, големият брой опити за влизане в системата от големи атаки за разпръскване на пароли може да претовари устройството, което в някои случаи може да доведе до прекъсване на услугата и/или операциите“, се казва в становището на Citrix.
Компанията заяви, че организациите, към които е насочена атаката, ще наблюдават рязък скок на опитите за удостоверяване и неуспехите, като трафикът ще идва от множество динамични IP адреси. Обект на посегателство са били устройства NetScaler, разположени както на място, така и в облачна инфраструктура.
Citrix твърди, че използването на многофакторно удостоверяване (MFA) предотвратява неоторизиран достъп, но прекомерното регистриране и претоварването на процесора за управление може да има оперативно въздействие, а устройството може да стане нестабилно и да се срине.
Citrix, която е предоставила индикатори за компрометиране (IoC), за да помогне на организациите да идентифицират тези атаки, препоръчва да се активира MFA и да се създадат политики за блокиране на нелоялни заявки за удостоверяване, преди да бъдат обработени.
Блокирането на заявките за удостоверяване от известни злонамерени IP адреси, задаването на кратък интервал за ротация на логовете, за да се предотврати бързото нарастване на размера им и запълване на мястото за съхранение, и включването на recaptcha в NetScaler също биха помогнали за смекчаване на тези атаки.
Източник: e-security.bg