• January 27, 2025

Serangan Password Spraying pada NetScaler/NetScaler Gateway – Desember 2024

Cloud Software Group menyadari serangkaian serangan password spraying baru-baru ini yang ditujukan pada berbagai organisasi di seluruh dunia. Serangan ini terdeteksi pada berbagai produk dan platform, menunjukkan adanya masalah yang lebih luas di industri ini, sebagaimana yang disorot dalam beberapa sumber berikut:

  • Cybersecurity Dive
  • Dark Reading
  • Blog Keamanan Microsoft
  • Security Magazine

Beberapa serangan ini menargetkan perangkat NetScaler. Cloud Software Group telah bekerja sama dengan pelanggan yang terdampak untuk menganalisis masalah ini dan memberikan rekomendasi pemulihan. Serangan-serangan ini merupakan tipe serangan password spraying, yang berbeda dengan brute force. Alih-alih mencoba banyak kata sandi pada satu akun, penyerang mencoba sejumlah kecil kata sandi umum pada banyak akun untuk menghindari deteksi dan pemblokiran akun. Ketika perangkat NetScaler disiapkan untuk menangani jumlah percakapan otentikasi yang normal, jumlah percakapan login yang tinggi akibat serangan password spraying dapat membuat perangkat kewalahan, yang dapat menyebabkan gangguan layanan dan/atau operasional. Cloud Software Group telah mengembangkan serangkaian rekomendasi untuk membantu mitigasi serangan ini, seperti yang dijelaskan di bawah ini.

Ringkasan Masalah

Cloud Software Group baru-baru ini mengamati peningkatan serangan password spraying yang ditujukan pada perangkat NetScaler. Serangan ini ditandai dengan lonjakan signifikan dalam upaya dan kegagalan otentikasi, yang memicu peringatan di sistem pemantauan, termasuk Gateway Insights dan log Active Directory. Lalu lintas serangan berasal dari berbagai alamat IP dinamis, yang membuat strategi mitigasi tradisional seperti pemblokiran IP dan pembatasan laju menjadi kurang efektif.

Pelanggan yang menggunakan Gateway Service tidak perlu mengambil tindakan pemulihan. Hanya perangkat NetScaler/NetScaler Gateway yang diterapkan secara on-premise atau di infrastruktur cloud yang memerlukan mitigasi ini.

Dampak Potensial

Meskipun penggunaan autentikasi multi-faktor (dengan nFactor) pada NetScaler membantu mencegah akses yang tidak sah, serangan ini dapat menyebabkan dampak operasional yang signifikan melalui kehabisan sumber daya:

  1. Pencatatan yang Berlebihan: Volume tinggi dari upaya login yang gagal dapat memenuhi file log NetScaler (ns.log), mengonsumsi ruang direktori /var, dan berpotensi mempengaruhi akses GUI.
  2. Kelebihan Beban CPU Manajemen: Lonjakan permintaan otentikasi dapat mengonsumsi sumber daya CPU yang signifikan, memengaruhi kinerja perangkat, dan dalam beberapa kasus, memicu failover High Availability (HA) akibat heartbeat yang terlewat.
  3. Instabilitas Perangkat: Dalam beberapa kasus, modul AAA dapat kewalahan, yang menyebabkan perangkat crash.

Karakteristik Serangan

Selama analisis kami, terdeteksi bahwa serangan password spraying ini terutama menargetkan otentikasi pengguna terhadap endpoint sejarah, sebelum nFactor.

Log berikut kemudian dibuat di ns.log. Jika log seperti ini ditemukan di ns.log dan volumenya lebih tinggi dari yang biasa ditemukan pada NetScaler selama operasi normal, ini menandakan bahwa NetScaler/NetScaler Gateway mungkin sedang diserang.

Rekomendasi Mitigasi

Cloud Software Group merekomendasikan mitigasi berikut:

  1. Aktifkan autentikasi multi-faktor untuk Gateway dan pastikan faktor verifikasi MFA dikonfigurasi sebelum faktor LDAP.
  2. Buat kebijakan responder untuk membatasi permintaan hanya pada FQDN yang diinginkan, karena serangan sering menargetkan alamat IP daripada FQDN Gateway. Berikut adalah kebijakan responder yang perlu dibuat:
    sql
    add responder policy IP_Block "HTTP.REQ.HOSTNAME.EQ(\"\").NOT" DROP
    bind vpn vserver Gateway_vServer -policy IP_Block -priority 100
  3. Blokir endpoint berikut jika tidak menggunakan otentikasi dasar/klasik sebelum nFactor:
    • /cgi/login
    • /p/u/doAuthentication.do
    • /p/u/getAuthenticationRequirements.do

    Kebijakan ini memblokir permintaan otentikasi sebelum mencapai modul AAA, mencegahnya diproses. Kebijakan ini hanya bekerja untuk versi firmware NetScaler 13.0 ke atas.

  4. Gunakan WAF untuk melindungi vServer Gateway. Dengan mengaktifkan WAF, permintaan yang menargetkan “/p/u/doAuthentication.do” & “/p/u/getAuthenticationRequirements.do” dapat diblokir dengan tingkat keberhasilan yang lebih tinggi.
  5. Aktifkan reputasi IP untuk secara otomatis memblokir permintaan dari alamat IP yang diketahui berbahaya, mengurangi volume serangan.
    bash
    enable feature reputation
    add responder policy policy_block_malicious_ip CLIENT.IP.SRC.IPREP_IS_MALICIOUS    " DROP
    bind vpn vserver Gateway_vServer_name -policy policy_block_malicious_ip -priority 50
  6. Percepat rotasi log untuk mencegah file log tumbuh terlalu besar dan mengisi disk penyimpanan. Atur interval rotasi log ke 30 menit.
  7. Aktifkan recaptcha pada NetScaler.

Informasi ini berdasarkan data yang tersedia saat ini dan disediakan apa adanya tanpa jaminan atau garansi apapun. Penggunaan informasi ini sepenuhnya merupakan risiko pengguna, dan pengguna harus menggunakan kebijaksanaannya sendiri dalam menentukan mitigasi atau tindakan lain yang sesuai dengan keadaan unik mereka. Cloud Software Group berhak mengubah atau memperbarui informasi ini kapan saja.