Citrix、NetScalerアプライアンスへのパスワードスプレー攻撃について注意喚起

Citrix、NetScalerアプライアンスへのパスワードスプレー攻撃について注意喚起

シトリックス・システムズ(Citrix Systems, Inc)はロードバランサーのNetScalerやNetScaler Gatewayを対象としたパスワードスプレー攻撃が確認されている事を発表しました。

パスワードスプレー攻撃とは

パスワードスプレー攻撃では、複数のアカウントで限られた数の共通パスワードを試します。この方法は、アカウントのロックアウトを回避し、従来の検出メカニズムを回避できます。

Citrixも公式で、「これらの攻撃はパスワード スプレー攻撃と一致しており、ブルート フォース攻撃とは異なります。」としています。

参考:パスワードスプレー攻撃とブルートフォース攻撃の違い

項目 パスワードスプレー攻撃
ブルートフォース攻撃
対象 複数のアカウント
単一のアカウント
試すパスワードの種類 限られた数のパスワード
あらゆる可能性のあるパスワード
アカウントロック対策 リスクを分散してロックを回避
ロックされるリスクが高い
目的 弱いパスワードを使用するアカウントの特定
特定のアカウントのパスワード解読
攻撃の範囲 広範囲 集中的

問題の概要

NetScaler で多要素認証 (nFactor を使用) を使用すると不正アクセスを防ぐのに役立ちますが、次のような攻撃はリソース枯渇によって運用に重大な影響を及ぼす可能性があり、脅威アクターはこのリソース枯渇を悪用しています。

  • 過剰なログ記録:大量のログイン試行の失敗により、NetScaler ns.log ファイルがいっぱいになり、/var ディレクトリのスペースが消費され、GUI アクセスに影響する可能性があります。 
  • 管理 CPU の過負荷:認証要求の急増により CPU リソースが大幅に消費され、デバイスのパフォーマンスに影響が及び、場合によってはハートビートの欠落により高可用性 (HA) フェイルオーバーがトリガーされます。
  • アプライアンスの不安定性:攻撃により AAA モジュールが過負荷になり、場合によってはクラッシュが発生する可能性があります。

これらのパスワード スプレー攻撃は主に、nFactor 以前の過去のエンドポイントに対するユーザー認証をターゲットにしており、以下が活用されます。

  • 広範囲にわたる動的 IP アドレスにより、IP ブロックとレート制限が無効になる。
  • Gateway Insights や Active Directory などのシステムに大量の認証失敗が記録される

緩和策

  • 多要素認証(MFA)の有効化: NetScaler GatewayでMFAを設定し、LDAP認証の前にMFA検証を行うことで、不正アクセスのリスクを低減します。
  • FQDNベースのアクセス制御: 攻撃者がIPアドレスを直接ターゲットにすることを防ぐため、必要なFQDN(完全修飾ドメイン名)へのリクエストのみを許可するレスポンダーポリシーを作成します。
  • 旧式の認証エンドポイントのブロック: nFactor以前の基本認証エンドポイント(例: /cgi/login/p/u/doAuthentication.do)を使用していない場合、これらへのアクセスをブロックするレスポンダーポリシーを設定し、攻撃の入口を減らします。
  • Webアプリケーションファイアウォール(WAF)の有効化: NetScalerのWAF機能を活用し、悪意のあるリクエストを検出・ブロックすることで、攻撃の影響を軽減します。
  • IPレピュテーションの活用: 既知の悪意あるIPアドレスからのアクセスを自動的にブロックするIPレピュテーション機能を有効にし、攻撃トラフィックを削減します。
  • ログローテーションの設定: ログファイルの急激な増加によるディスクスペースの枯渇を防ぐため、ログローテーションの間隔を短縮(例: 30分)し、システムの安定性を維持します。
  • reCAPTCHAの導入: ログインページにreCAPTCHAを実装し、自動化された不正なログイン試行を防止します。
TOPへ