{"id":306758,"date":"2024-12-06T11:37:39","date_gmt":"2024-12-06T10:37:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=306758"},"modified":"2024-12-10T16:52:16","modified_gmt":"2024-12-10T15:52:16","slug":"massive-angriffswelle-auf-citrix-netscaler-gateways-5-12-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/12\/06\/massive-angriffswelle-auf-citrix-netscaler-gateways-5-12-2024\/","title":{"rendered":"Massive Angriffswelle auf Citrix Netscaler Gateways (5.12.2024)?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurze Frage bzw. Information an die Leserschaft des Blogs, die Citrix Netscaler Gateways im Einsatz haben. Konntet ihr am gestrigen Abend eine massive Zunahme der Angriffsversuche auf diese Instanzen beobachten. Ein Blog-Leser hat mich gerade \u00fcber eine entsprechende Beobachtung per Mail informiert (danke f\u00fcr die Info).<\/p>\n

<\/p>\n

\"\"Das NetScaler Gateway von Citrix erm\u00f6glicht den Remotezugriff von Ger\u00e4ten auf das interne Netzwerk und interne Ressourcen. Nutzer k\u00f6nnen laut dieser Seite<\/a> den Citrix Gateway Service (Preview) oder ein on-premises NetScaler Gateway verwenden.<\/p>\n

Angriffsversuche auf NetScaler Gateway<\/h2>\n

Blog-Leser Christian ist f\u00fcr einen Citrix NetScaler Gateway in einem mir bekannten Unternehmen zust\u00e4ndig. In seiner E-Mail schrieb er, dass\u00a0es bei ihm im Unternehmen gestern (5. Dezember 2024) zwischen 17:00 Uhr und 22:00 Uhr massive Angriffe auf Citrix Netscaler Gateways gab. Die Angreifer haben versucht, mittels Zufallsdaten aus Brute Force-Listen die Zug\u00e4nge zu hacken. Christian hat mir folgende Liste mit Standard-Nutzernamen, die bei den Zugriffsversuchen probiert wurden, als Screenshot \u00fcbermittelt.<\/p>\n

\"Zufalls-Zugangsdaten\"<\/p>\n

Die Angreifer probieren dann diese Nutzernamen sowie eine Reihe h\u00e4ufig bekannter Passw\u00f6rter. Christian gibt an, dass es in seinem Unternehmensumfeld\u00a0\u00fcber 20.000 Anmeldeversuche gegeben habe. Bei einem IT-Kollegen wurden auch mehrere Tausend Anmeldeversuche beobachtet.<\/p>\n

Diese Art Angriffe durch \"Probing\" im Internet erreichbarer Citrix Netscaler Gateway-Instanzen sind nicht neu. Aber es ist auch bekannt, dass so die Cyberangriffe der Vergangenheit ihren Anfang nahmen. Der Leser schreibt zudem, dass es auch einige wesentlich gezieltere Versuche mit domainspezifischen E-Mails auf das Citrix Netscaler Gateway des mir bekannten Unternehmens gegeben habe. So wurde\u00a0beispielsweise auch der Begriff \"Baustoffzentrum\" als Benutzernamen beim Login versucht.<\/p>\n

Ich stelle die Information einerseits als Warnung hier im Blog ein – wer Citrix Netscaler Gateway-Instanzen betreibt, sollte vielleicht einen Blick auf die log-Dateien werfen. Kritisch sind vor allem solche Netscaler Gateway-Zug\u00e4nge, die leicht erratbare Namen wie aus obiger Liste aufweisen. Ein Zugang mit Zahlen oder Sonderzeichen im Benutzernamen wird zumindest (sofern nicht trivial wie user2) diese Art Angriffe erschweren. Mich interessiert aber auch, ob andere Blog-Leser aktuell \u00e4hnliches beobachten?<\/p>\n

Erg\u00e4nzung: Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt seit dem 10. Dezember 2024 vor diesen Angriffen, siehe\u00a0BSI warnt nun auch vor massiver Angriffswelle auf Citrix Netscaler Gateways (Dez. 2024)<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurze Frage bzw. Information an die Leserschaft des Blogs, die Citrix Netscaler Gateways im Einsatz haben. Konntet ihr am gestrigen Abend eine massive Zunahme der Angriffsversuche auf diese Instanzen beobachten. Ein Blog-Leser hat mich gerade \u00fcber eine entsprechende Beobachtung per … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[8520,4328],"class_list":["post-306758","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-netscaler","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306758","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=306758"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306758\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=306758"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=306758"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=306758"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}