Citrix、NetScalerアプライアンスへのパスワードスプレー攻撃について注意喚起
シトリックス・システムズ(Citrix Systems, Inc)はロードバランサーのNetScalerやNetScaler Gatewayを対象としたパスワードスプレー攻撃が確認されている事を発表しました。
パスワードスプレー攻撃とは
パスワードスプレー攻撃では、複数のアカウントで限られた数の共通パスワードを試します。この方法は、アカウントのロックアウトを回避し、従来の検出メカニズムを回避できます。
Citrixも公式で、「これらの攻撃はパスワード スプレー攻撃と一致しており、ブルート フォース攻撃とは異なります。」としています。
参考:パスワードスプレー攻撃とブルートフォース攻撃の違い
項目 | パスワードスプレー攻撃 |
ブルートフォース攻撃
|
対象 | 複数のアカウント |
単一のアカウント
|
試すパスワードの種類 | 限られた数のパスワード |
あらゆる可能性のあるパスワード
|
アカウントロック対策 | リスクを分散してロックを回避 |
ロックされるリスクが高い
|
目的 | 弱いパスワードを使用するアカウントの特定 |
特定のアカウントのパスワード解読
|
攻撃の範囲 | 広範囲 | 集中的 |
問題の概要
NetScaler で多要素認証 (nFactor を使用) を使用すると不正アクセスを防ぐのに役立ちますが、次のような攻撃はリソース枯渇によって運用に重大な影響を及ぼす可能性があり、脅威アクターはこのリソース枯渇を悪用しています。
- 過剰なログ記録:大量のログイン試行の失敗により、NetScaler ns.log ファイルがいっぱいになり、/var ディレクトリのスペースが消費され、GUI アクセスに影響する可能性があります。
- 管理 CPU の過負荷:認証要求の急増により CPU リソースが大幅に消費され、デバイスのパフォーマンスに影響が及び、場合によってはハートビートの欠落により高可用性 (HA) フェイルオーバーがトリガーされます。
- アプライアンスの不安定性:攻撃により AAA モジュールが過負荷になり、場合によってはクラッシュが発生する可能性があります。
これらのパスワード スプレー攻撃は主に、nFactor 以前の過去のエンドポイントに対するユーザー認証をターゲットにしており、以下が活用されます。
- 広範囲にわたる動的 IP アドレスにより、IP ブロックとレート制限が無効になる。
- Gateway Insights や Active Directory などのシステムに大量の認証失敗が記録される
緩和策
- 多要素認証(MFA)の有効化: NetScaler GatewayでMFAを設定し、LDAP認証の前にMFA検証を行うことで、不正アクセスのリスクを低減します。
- FQDNベースのアクセス制御: 攻撃者がIPアドレスを直接ターゲットにすることを防ぐため、必要なFQDN(完全修飾ドメイン名)へのリクエストのみを許可するレスポンダーポリシーを作成します。
- 旧式の認証エンドポイントのブロック: nFactor以前の基本認証エンドポイント(例:
/cgi/login
、/p/u/doAuthentication.do
)を使用していない場合、これらへのアクセスをブロックするレスポンダーポリシーを設定し、攻撃の入口を減らします。 - Webアプリケーションファイアウォール(WAF)の有効化: NetScalerのWAF機能を活用し、悪意のあるリクエストを検出・ブロックすることで、攻撃の影響を軽減します。
- IPレピュテーションの活用: 既知の悪意あるIPアドレスからのアクセスを自動的にブロックするIPレピュテーション機能を有効にし、攻撃トラフィックを削減します。
- ログローテーションの設定: ログファイルの急激な増加によるディスクスペースの枯渇を防ぐため、ログローテーションの間隔を短縮(例: 30分)し、システムの安定性を維持します。
- reCAPTCHAの導入: ログインページにreCAPTCHAを実装し、自動化された不正なログイン試行を防止します。