3月份，思科报道称网络威胁者正在针对思科VPN设备发动密码喷射攻击。在某些情况下，这些攻击可导致拒绝服务状态，使思科最终从中发现了一个DDoS 漏洞并在10月份修复。10月份，微软提醒称 Quad7 僵尸网络滥用TP-Link、华硕、Ruckus、Axentra 和合勤网络设备对云服务发动密码喷射攻击。

本周早些时候，德国BSI网络安全机构援引多份报告提醒称，Citrix Netscaler 设备目前正遭类似的密码喷射攻击，攻击者的目的是窃取登录凭据并攻陷网络。BSI提到，“BSI 目前收到越来越多的报告称，关键基础设施行业和国际合作伙伴的Citrix Netscaler 网关遭暴力攻击。”

上周，媒体Born City 率先报道了这些攻击活动。该媒体读者表示自己的 Citrix Netscaler 设备从11月开始一直到12月一直在经历暴力攻击。其中一些读者表示攻击者使用多种通用用户名称（test、testuser1、veeam、sqlservice、scan、ldap、postmaster、vpn、fortinet、confluence、vpntest、stage、xerox、svcscan、finance、sales）对账户凭据发动暴力尝试，次数介于2万到100万次之间。密码喷射攻击中的其它用户名称还包括姓名、姓氏和名字组合以及邮件地址。

Citrix 发布安全公告

Citrix 公司发布安全通告，提醒注意不断增多的针对Netscaler 设备的密码喷射攻击，并提供了降低这些影响的缓解措施。

Citrix 公司提到，“Cloud Software Group 最近发现针对NetScaler 设备的密码喷射攻击在增多。这些攻击的认证尝试和失败事发突然且次数突然增多，因此触发了监控系统如Gateway Insights 和 Active Directory 日志的告警。该攻击流量源自大范围的动态IP地址，导致传统的缓解策略如 IP 拦截和速率限制的有效性下降。Gateway Service 用户无需采取任何缓解措施。只有本地部署和在云基础设施上部署的 NetScaler/NetScaler Gateway 设备需要应用这些缓解措施。”

Citrix 公司进一步提到，突然的大量认证请求可能会使配置为正常登录量的Citrix NetScaler 设备不堪重负，导致日志增多且导致设备不可用或产生性能问题。该公司提到，从所观测到的攻击来看，认证请求攻击针对的nFactor 机制推出前的端点，这些端点用于兼容遗留配置的历史认证URL。

Citrix 公司还分享了降低这些攻击影响的一系列缓解措施，包括：

Citrix 公司提到，这些缓解措施仅适用于 NetScaler 固件的13.0或以上版本。该公司还在安全公告中给出了如何应用这些缓解措施的详细指南。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~