![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Seit Dezember 2024 gibt es ja massiven Angriffswellen Citrix Netscaler Gateways. Ich hatte im Blog gewarnt und das BSI hat im Nachgang ebenfalls eine Warnung ver\u00f6ffentlicht. Nun hat Citrix reagiert, und gibt Tipps, wie sich Netscaler Gateways gegen die Angriffe sch\u00fctzen lassen.<\/p>\n
<\/p>\n
Das NetScaler Gateway von Citrix erm\u00f6glicht den Remotezugriff von Ger\u00e4ten auf das interne Netzwerk und interne Ressourcen. Anfang Dezember 2024 informierte mich\u00a0Blog-Leser Christian \u00fcber von ihm beobachtete massive Angriffe auf das Citrix NetScaler Gateway seines Unternehmens zum 5. Dezember 2024.<\/p>\n
![\"Zufalls-Zugangsdaten\"](\"https:\/\/i.postimg.cc\/pdTrrtT7\/image.png\")
<\/p>\n
Zwischen 17:00 Uhr und 22:00 Uhr gab es massive Angriffsversuche, wohl die Angreifer versuchten, \u00fcber Zufallsdaten aus Brute Force-Listen die Zug\u00e4nge zu hacken. Christian hatte mir obige Liste mit Standard-Nutzernamen, die bei den Zugriffsversuchen probiert wurden, als Screenshot \u00fcbermittelt.<\/p>\n
Ich hatte dies spontan als Information und Frage im Beitrag Massive Angriffswelle auf Citrix Netscaler Gateways (5.12.2024)?<\/a> hier im Blog eingestellt, damit aber \"was losgetreten\". Einige Tage sp\u00e4ter warnte das BSI ebenfalls vor diesen Angriffen (BSI warnt nun auch vor massiver Angriffswelle auf Citrix Netscaler Gateways (Dez. 2024)<\/a>). Ich hatte es gar nicht mitbekommen, einem Leser ist aufgefallen, dass in der BSI-Warnung auf den obigen Blog-Beitrag referenziert wird.<\/p>\n Kollege Lawrence Abrams von Bleeping Computer hat die obigen Blog-Beitr\u00e4ge mit verfolgt und weist hier<\/a> nicht nur auf die BSI-Warnung und den ersten Blog-Beitrag von mir hin, sondern ist bei Citrix auf den Sicherheitshinweis Password spraying attacks on NetScaler\/NetScaler Gateway \u2013 December 2024<\/a> vom 13. Dezember 2024 gesto\u00dfen. Dort warnt der Hersteller vor Password spraying-Angriffen auf sein NetScaler Gateway.<\/p>\n Die Cloud Software Group hat in letzter Zeit eine Zunahme von Passwort-Spraying-Angriffen auf NetScaler-Appliances beobachtet, hei\u00dft es. Diese Angriffe zeichnen sich durch einen pl\u00f6tzlichen und signifikanten Anstieg von Authentifizierungsversuchen und -fehlern aus, die in \u00dcberwachungssystemen, einschlie\u00dflich Gateway Insights und Active Directory-Protokollen, Alarme ausl\u00f6sen.<\/p>\n Der Angriffsverkehr stammt von einem breiten Spektrum dynamischer IP-Adressen, so dass herk\u00f6mmliche Abwehrstrategien wie IP-Blockierung und Ratenbegrenzung weniger effektiv sind, gibt Citrix an.<\/p>\n Kunden, die Gateway-Service von Citrix nutzen, m\u00fcssen keine Abhilfema\u00dfnahmen ergreifen. Nur NetScaler\/NetScaler Gateway Appliances, die On-Premises oder in einer Cloud-Infrastruktur eingesetzt werden, ben\u00f6tigen nachfolgende Abhilfema\u00dfnahmen.<\/p>\n Durch das Erstellen dieser Responder-Richtlinie werden diese Authentifizierungsanfragen blockiert, bevor sie das AAA-Modul erreichen, schreibt Citrix. Dadurch k\u00f6nnen sie nicht mehr verarbeitet werden k\u00f6nnen. Diese Richtlinien funktionieren nur f\u00fcr NetScaler-Firmware-Versionen gr\u00f6\u00dfer oder gleich 13.0. Hier noch\u00a0die zu erstellenden Responder-Richtlinien:<\/p>\n Falls eine WAF zum Schutz von Gateway vServern verwendet wird, gibt Citrix im Sicherheitshinweis abweichende Befehle an.<\/p>\n Es ist zu beachten, dass Citrix bei der Analyse dieser Probleme festgestellt hat, dass Anfragen, die auf \u201e\/p\/u\/doAuthentication.do\" & \u201e\/p\/u\/getAuthenticationRequirements.do\" abzielen, mit einer h\u00f6heren Erfolgsrate blockiert werden, wenn WAF f\u00fcr Gateway aktiviert wurde. Citrix empfehlen daher, WAF f\u00fcr Gateway zu aktivieren:<\/p>\n Aktivieren Sie die IP-Reputation, um Anfragen von bekannten b\u00f6sartigen IP-Adressen automatisch zu blockieren und so das Angriffsvolumen zu reduzieren.<\/p><\/blockquote>\n Verwenden Sie auf NetScaler CLI die folgenden Befehle, um IP-Reputation zu aktivieren:<\/p>\n Weitere Details sind dem Sicherheitshinweis von Citrix<\/a> zu entnehmen.<\/p>\n \u00c4hnliche Artikel:<\/strong> [English]Seit Dezember 2024 gibt es ja massiven Angriffswellen Citrix Netscaler Gateways. Ich hatte im Blog gewarnt und das BSI hat im Nachgang ebenfalls eine Warnung ver\u00f6ffentlicht. Nun hat Citrix reagiert, und gibt Tipps, wie sich Netscaler Gateways gegen die Angriffe … Weiterlesen Citrix reagiert mit Hinweisen<\/h2>\n
\n
\n
\n
\n
bind\u00a0policy\u00a0patset patset_block_urls\u00a0\"\/cgi\/login\"\r\nbind\u00a0policy\u00a0patset patset_block_urls\u00a0\"\/p\/u\/doAuthentication.do\"\r\nbind\u00a0policy\u00a0patset patset_block_urls\u00a0\"\/p\/u\/getAuthenticationRequirements.do\"\r\n\r\nadd\u00a0responder\u00a0policy\u00a0policy_block_urls\u00a0\"HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\\\"patset_block_urls\\\")\"\u00a0DROP\r\n\r\nbind vpn vserver Gateway_vServer_name -policy policy_block_urls -priority 100\r\n-gotoPriorityExpression END -type AAA_REQUEST<\/pre>\n
set appfw profile ns-aaa-default-appfw-profile -denylist ON\r\n\r\nbind appfw profile ns-aaa-default-appfw-profile \"HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\\\"patset_block_urls\\\")\" -valueType Expression\r\n-ruleAction log RESET<\/pre>\n
enable\u00a0feature reputation\r\nadd\u00a0responder\u00a0policy\u00a0policy_block_malicious_ip\u00a0\"CLIENT.IP.SRC.IPREP_IS_MALICIOUS\"\u00a0DROP\r\nbind vpn vserver Gateway_vServer_name -policy policy_block_malicious_ip -priority 50\r\n-gotoPriorityExpression END -type AAA_REQUEST<\/pre>\n
\nMassive Angriffswelle auf Citrix Netscaler Gateways (5.12.2024)?<\/a>
\nBSI warnt nun auch vor massiver Angriffswelle auf Citrix Netscaler Gateways (Dez. 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"