Citrix确认密码喷射内部IP的大量涌现

  • A+
所属分类:未分类

安全专家表示,此次攻击源于网络安全控制力弱。

UPDATE

数字工作空间和企业网络供应商思杰已经在3月份结束了对6TB数据抢救的调查,其中称这是国际网络犯罪分子在内部网络上利用弱密码的工作。

该公司在其网站上发布的最新消息攻击者在2018年10月13日至2019年3月8日期间间歇性地访问了Citrix的基础设施。 他们“主要是从用于存储当前和历史业务文档的公司共享网络驱动器中窃取业务文档和文件,以及与我们的咨询实践中使用的基于Web的工具相关联的驱动器”,根据通知。

虽然少数客户可能受到影响,但没有迹象表明Citrix的产品或服务受到了损害。 它说,调查的那部分仍在进行中。

Digital Shadows的策略和研究分析师Harrison Van Riper告诉Threatpost:“重要的是,他们提到入侵者只窃取了Citrix文档和IP,而不是Citrix客户的信息。 自从违规行为首次公布以来,可能仍然存在很多混乱。“

该公司证实,对手通过成功的密码喷涂工作获得了访问权限 - 这是3月份的初步评估

密码喷射是对暴力破解和凭证填充的相关类型的攻击。 在密码喷涂中,对手不会针对单个帐户尝试大量密码,而是针对许多帐户尝试使用单个常用密码(例如“123456”)。 如果不成功,将尝试第二个密码,依此类推,直到帐户被破解。 这种“低速和慢速”方法用于避免由于太多失败的登录尝试导致的帐户锁定。

根据Secret Double Octopus ,“密码喷涂活动通常针对使用联合身份验证协议的单点登录(SSO)和基于云的应用程序。 定位联合身份验证可以帮助屏蔽恶意流量。 此外,如果攻击成功,定位SSO应用程序有助于最大限度地获取知识产权。“

对于一直专注于联邦体系结构的Citrix,FBI在3月份推测攻击者可能获得了有限访问的立足点,然后努力绕过额外的安全层。 有证据表明攻击者试图转向基础设施的其他区域。

思杰表示,“访问了非常有限数量的受攻击用户的个人虚拟驱动器和公司电子邮件帐户”; 并且,攻击者发布了有限数量的内部应用程序。

根据Radware安全分析主管Nissim Pariente的说法,这应该是对其他大型企业的警告。

“弱密码策略可能导致威胁行为者利用它进行横向移动和特权升级,最终可以用于长时间保持持久性,例如Citrix事件中发生的事情,”他告诉Threatpost。

Centrify的网络安全传播者Torsten George告诉Threatpost,Citrix的结论是黑客通过密码喷射进入内部网络,这只是黑客不再需要破解内部网络的最新例子。

“他们使用弱,被盗或其他妥协的凭据登录,”他说。 “组织还必须采用零信任特权方法来保护现代威胁场景,并基于验证谁请求访问,请求的上下文和访问环境的风险来授予最小特权访问权限。 现实情况是,猜测密码比攻击技术更容易,组织应该假设坏的角色已经在他们的网络中。“

Centrify最近的一项调查显示,超过四分之三(74%)遭遇数据泄露的公司称其涉及特权凭证滥用。 这个数字与Forrester Research的估计密切相关,即至少80%的数据泄露涉及特权凭证,例如密码,令牌,密钥和证书。

尽管如此,为了应对这次攻击,“我们进行了全局密码重置,改进了我们的内部密码管理并加强了密码协议,”思杰表示。

这是一些安全专家所说的可能不是最好的方法。

“不幸的是,这类似于重新安排泰坦尼克号的躺椅,”StrongKey首席技术官Arshad Noor告诉Threatpost。 “密码不仅仅是旧的,它们是古老的 - 为大型机创建,以便在20世纪60年代实现分时控制以实现分时。 数十亿美元的公司继续使用这种古老的技术来保护数万亿美元的经济,这是21世纪的时代错误。“

根据安全专家的说法,这一事件已经指出了Citrix的安全态势似乎已经引起了明显的疏忽。

“这向我强调了安全基础的重要性。 即使是大型知名企业也可能成为相对基本攻击的牺牲品,“Digital Shadows安全工程主管Richard Gold告诉Threatpost。 “密切关注安全基础知识,例如密码卫生,是所有组织的关键要求。 此外,Citrix正在处理的挑战并非完全是技术性的。 他们也在处理社会,官僚,文化和组织问题。“

Digital Shadows的Van Riper同时指出,“密码喷涂会攻击少量具有大量密码的用户名,这可能意味着他们的登录服务没有非常可靠的凭证验证限制,即失败的登录限制,帐户锁定策略。 ”

最后,Vectra的安全分析主管克里斯莫拉莱斯告诉Threatpost,“我很高兴看到Citrix通过积极主动的步骤来跟踪如何使用和管理密码,如何跟踪特权访问,以及如何分割网络。 这些都是任何公司的基础。 我不知道之前是怎么回事。 虽然思杰不是我认为的纯粹安全游戏,但他们的产品组合中确实存在安全问题,包括设备管理,这似乎是业务运营方式的一个关键方面。“

Citrix告诉Threatpost,博客发布后没有任何评论。

这篇文章于上午10:24更新,Citrix的回复。

对补丁管理更感兴趣? 不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势,如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: