Bleeping Computer 网站披露,黑客正在应用 "Citrix Bleed "破绽(被追踪为 CVE-2023-4966)攻打美洲、欧洲、非洲和亚太地域的政府机构、技术和法律组织。
Mandiant 钻研人员示意,自 2023 年 8 月下旬以来,有四项网络攻打优惠继续针对易受攻打的 Citrix NetScaler ADC 和 Gateway 设施。
Citrix Bleed 破绽
2023 年 10 月 10 日,安保钻研人员发现并披露 Citrix Bleed CVE-2023-4966 破绽。该破绽重要影响 Citrix NetScaler ADC 和 NetScaler Gateway,准许未经授权的网络攻打者访问设施上的敏感信息。破绽修复程序发布一周后,Mandiant 又泄漏该破绽自 8 月下旬以来不时处于零日攻打形态,要挟攻打者应用该破绽劫持现有的已验证会话,绕过多起因包全。
据悉,要挟攻打者经常使用特制的 HTTP GET 恳求,迫使指标设施前往身份验证后和 MFA 审核后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容,在窃取这些验证 cookie 后,网络攻打者可以无需再次执行 MFA 验证,便可访问设施。
发现上述疑问后,Citrix 再次向治理员收回了警示,督促采取有效手腕,以包全自己的系统免遭网络攻打。
10 月 25 日,AssetNote 钻研人员发布了一个概念验证(PoC)破绽,演示了如何经过会话令牌偷盗劫持 NetScaler 帐户。
攻打优惠继续启动中
Mandiant 强调因为设施上不足日志记载,须要网络运行程序防火墙 (WAF) 和其它网络流量监控设施记载流量并确定设施能否被应用,除非企业网络在攻打前经常使用上述监控设施,否则就无法启动任何历史剖析,钻研人员只能启动实时观察,这就给考查 CVE-2023-3966 的应用状况带来了更多的应战。
更蹩脚的是,即使受益指标发现自身遭逢了攻打,网络攻打者仍能坚持隐蔽性,经常使用 net.exe 和 netscan.exe 等罕用治理工具作掩护,与日常操作融为一体。Mandiant 的钻研人员重要经过以下路径识别应用希图和会话劫持:
IP 不婚配示例(Mandiant)
应用恳求的照应示例(Mandiant)
攻打指标
一旦要挟攻打者完成应用 CVE-2023-4966 破绽,便可启动网络侦查,窃取账户凭据,并经过 RDP 启动横向移动,此阶段经常使用的工具如下:
值得留意的是,虽然上述许多工具在企业环境中十分经常出现,但它们组合部署,或许就是外部正在遭受网络攻打的标记,像 FREEFIRE 工具更能标明外部存在破绽。