12月10日德国联邦资讯安全办公室(BSI)提出警告,,有别于一般的暴力破解攻击,往往对「单一」帐号尝试使用「多组」密码,而在这起恶意行动中,攻击者反其道而行,他们针对NetScaler设备的「多个」帐号,利用一组数量不多的常见密码进行登入尝试,这么做的目的,是为了避免被系统判定为异常而向管理员发出警示,或是出现帐号锁定而导致东窗事发。
他们也提及这些攻击不光是身分验证尝试的次数突然显著增加,还有可能导致设备因大量尝试登入而不堪负荷,甚至会面临故障明显增加的情况。Citrix指出,由于攻击流量来自广泛的动态IP位址,若是管理员透过封锁来源IP位址或是限制流量,将难以有效缓解这类情形。
针对这波攻击行动可能会带来的影响,Citrix表示,用户启用多因素验证(MFA)将有助于阻挡未经授权的存取,但很有可能因为大量事件记录资料、处理器资源占用,而导致影响管理介面存取、启动高可用性(HA)的故障转移机制,甚至因为AAA模组(对身分进行验证、授权、稽核等程序)不堪负荷,而使得设备当机。
对此,他们提出一系列的缓解措施,呼吁管理者要尽速处理。