Хакеры усилили брутфорс-атаки на устройства Citrix NetScaler в Германии
12/12/24
Об этом сообщили ИБ-эксперты и ряд организаций, включая CERT Германии.
Citrix NetScaler, популярный контроллер доставки приложений (ADC), уже не первый год находится под пристальным вниманием злоумышленников. Например напоминает Securitylab, в январе были раскрыты две активно эксплуатируемые Zero-Day в продуктах NetScaler ADC и NetScaler Gateway.
BSI выпустило предупреждение об увеличении атак с использованием перебора паролей на устройства NetScaler. Сообщения об атаках поступили от организаций, работающих в критически важных отраслях инфраструктуры, а также от международных партнёров.
О росте активности хакеров впервые сообщила Cyderes. Специалисты компании зафиксировали «значительное увеличение» атак на устаревшие или неправильно настроенные устройства NetScaler. Атаки исходят от неназванного провайдера облачных услуг из Гонконга и затрагивают различные клиентские среды. Активность совпадает с недавними сообщениями о критических уязвимостях в продуктах Citrix NetScaler.
Cyderes упомянула следующие уязвимости, раскрытые и устранённые в ноябре:
- CVE-2024-8534 (оценка CVSS: 8.4) приводит к повреждению памяти и отказу в обслуживании (Denial of Service, DoS).
- CVE-2024-8535 (оценка CVSS: 5.8) позволяет аутентифицированному пользователю получить доступ к нежелательным функциям.
Citrix рекомендовала клиентам незамедлительно установить обновления, устраняющие проблемы.
Эксперты Cyderes отметили, что злоумышленники применяют распределённую стратегию перебора паролей, меняя IP-адреса и ASN-номера при каждой попытке, чтобы усложнить обнаружение и противодействие атакам. Пользователям NetScaler рекомендуется блокировать высокорисковые IP-диапазоны для уменьшения вероятности взлома.
Кроме того, специалисты Cyderes советуют обновлять устройства NetScaler до поддерживаемых версий, устанавливать исправления, надёжно настраивать удалённый доступ или отключать его при отсутствии необходимости, а также отслеживать подозрительную активность. Представители Citrix поддержали эти рекомендации и подчеркнули важность своевременного обновления устройств и их правильной настройки.
Хотя в основном упоминаются брандмауэры Citrix Gateways, специалисты подчёркивают, что уязвимыми могут быть любые системы, доступные из интернета, особенно VPN-шлюзы.