Brute-Force-Angriffe auf Citrix NetScaler Gateways

Aktuelle Berichte nennen laut BSI zwar Citrix Gateways als Angriffsziel. Grundsätzlich seien jedoch alle exponierten Systeme potenziell gefährdet, insbesondere VPN-Gateways. Besonders anfällig sind gemäß BSI exponierte Systeme, deren Zugangsdaten leicht zu erraten sind oder in kompromittierten, veröffentlichten Datensätzen auftauchen. Deshalb sollte nicht nur das Passwort ausreichend komplex sein. Auch ergänzende Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung sind ratsam.

Angreifende versuchen mit Brute-Force-Angriffen mit einer sehr hohen Zahl von Login-Versuchen, schwache Zugangsdaten zu erraten. Nach einem erfolgreichen Zugriff, versuchen sie meist, den Zugang z. B. über Backdoors aufrechtzuerhalten und anschließend weitere interne Systeme zu kompromittieren. Die Folge kann ein Datenabfluss oder eine vollständige Verschlüsselung mit Erpressungsversuch sein.

• Möglichst wenig Systeme sollten direkt aus dem Internet sein.
• Halten Sie die Anzahl der aus dem Internet nutzbaren administrativen Zugänge bzw. Management-Oberflächen möglichst gering.
• Halten Sie die Anzahl der aktiven Konten möglichst gering, insbesondere der Administrator-Konten.
• Konten dürfen nur die notwendigen Berechtigungen erhalten (Least-Privilege-Prinzip).
• Ändern Sie alle Standardpasswörter.
• Erzwingen Sie die Verwendung komplexer Passwörter.
• Verwenden Sie eine Zwei-Faktor-Authentisierung.
• Verwenden Sie möglichst keine Nutzernamen wie admin oder root.
• Erhöhen Sie die Wartezeit zwischen erfolglosen Login-Versuchen oder sperren Sie Konten nach einer bestimmten Anzahl fehlgeschlagener Logins.
• Löschen Sie ungenutzte und unnötige Daten und Konten.
• Sie sollten erfolgreiche Angreifer-Logins feststellen und Angreiferaktivitäten nachvollziehen können. Prüfen Sie dazu, ob Ihr Logging ausreicht.