Взлом опорных систем: NetScaler стал проблемой нацбезопасности

Хакеры усилили брутфорс-атаки на устаревшие и некорректно настроенные устройства Citrix NetScaler в Германии. Об этом сообщили ИБ-эксперты и ряд организаций, включая CERT Германии.

Citrix NetScaler, популярный контроллер доставки приложений (ADC), уже не первый год находится под пристальным вниманием злоумышленников. Например, в январе были раскрыты две активно эксплуатируемые Zero-Day в продуктах NetScaler ADC и NetScaler Gateway.

BSI выпустило предупреждение об увеличении атак с использованием перебора паролей на устройства NetScaler. Сообщения об атаках поступили от организаций, работающих в критически важных отраслях инфраструктуры, а также от международных партнёров.

О росте активности хакеров впервые сообщила Cyderes. Специалисты компании зафиксировали «значительное увеличение» атак на устаревшие или неправильно настроенные устройства NetScaler. Атаки исходят от неназванного провайдера облачных услуг из Гонконга и затрагивают различные клиентские среды. Активность совпадает с недавними сообщениями о критических уязвимостях в продуктах Citrix NetScaler.

Cyderes упомянула следующие уязвимости, раскрытые и устранённые в ноябре:

• CVE-2024-8534 (оценка CVSS: 8.4) приводит к повреждению памяти и отказу в обслуживании (Denial of Service, DoS).
• CVE-2024-8535 (оценка CVSS: 5.8) позволяет аутентифицированному пользователю получить доступ к нежелательным функциям.

Citrix рекомендовала клиентам незамедлительно установить обновления, устраняющие проблемы.

Эксперты Cyderes отметили, что злоумышленники применяют распределённую стратегию перебора паролей, меняя IP-адреса и ASN-номера при каждой попытке, чтобы усложнить обнаружение и противодействие атакам. Пользователям NetScaler рекомендуется блокировать высокорисковые IP-диапазоны для уменьшения вероятности взлома.

Кроме того, специалисты Cyderes советуют обновлять устройства NetScaler до поддерживаемых версий, устанавливать исправления, надёжно настраивать удалённый доступ или отключать его при отсутствии необходимости, а также отслеживать подозрительную активность. Представители Citrix поддержали эти рекомендации и подчеркнули важность своевременного обновления устройств и их правильной настройки.

Хотя в основном упоминаются брандмауэры Citrix Gateways, специалисты подчёркивают, что уязвимыми могут быть любые системы, доступные из интернета, особенно VPN-шлюзы. Брутфорс-атаки представляют собой постоянную угрозу для всех открытых систем, что делает их защиту приоритетной задачей.