黑客正在利用 Citrix Bleed 漏洞攻击全球政府网络
2023-11-2 14:19:58 Author: hackernews.cc(查看原文) 阅读量:38 收藏

Bleeping Computer 网站披露,黑客正在利用 “Citrix Bleed “漏洞(被追踪为 CVE-2023-4966)攻击美洲、欧洲、非洲和亚太地区的政府机构、技术和法律组织。

Mandiant 研究人员表示,自 2023 年 8 月下旬以来,有四项网络攻击活动持续针对易受攻击的 Citrix NetScaler ADC 和 Gateway 设备。

Citrix Bleed 漏洞

2023 年 10 月 10 日,安全研究人员发现并披露 Citrix Bleed CVE-2023-4966 漏洞。该漏洞主要影响 Citrix NetScaler ADC 和 NetScaler Gateway,允许未经授权的网络攻击者访问设备上的敏感信息。漏洞修复程序发布一周后,Mandiant 又透露该漏洞自 8 月下旬以来一直处于零日攻击状态,威胁攻击者利用该漏洞劫持现有的已验证会话,绕过多因素保护。

据悉,威胁攻击者使用特制的 HTTP GET 请求,迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容,在窃取这些验证 cookie 后,网络攻击者可以无需再次执行 MFA 验证,便可访问设备。

发现上述问题后,Citrix 再次向管理员发出了警示,敦促采取有效手段,以保护自己的系统免遭网络攻击。

10 月 25 日,AssetNote 研究人员发布了一个概念验证(PoC)漏洞,演示了如何通过会话令牌盗窃劫持 NetScaler 帐户。

攻击活动持续进行中

Mandiant 强调由于设备上缺乏日志记录,需要网络应用程序防火墙 (WAF) 和其它网络流量监控设备记录流量并确定设备是否被利用,除非企业网络在攻击前使用上述监控设备,否则就无法进行任何历史分析,研究人员只能进行实时观察,这就给调查 CVE-2023-3966 的利用情况带来了更多的挑战。

更糟糕的是,即使受害目标发现自身遭遇了攻击,网络攻击者仍能保持隐蔽性,使用 net.exe 和 netscan.exe 等常用管理工具作掩护,与日常操作融为一体。Mandiant  的研究人员主要通过以下途径识别利用企图和会话劫持:

WAF 请求分析:WAF 工具可记录对脆弱端点的请求;

登录模式监控:客户端和源 IP 地址不匹配以及 ns.log 文件中写入的来自同一 IP 地址的多个会话是潜在的未经授权访问的迹象。

IP 不匹配示例(Mandiant)

Windows 注册表相关性: 将 Citrix VDA 系统上的 Windows 注册表项与 ns.log 数据关联起来,可以追踪网络攻击者的来源。

内存转储检查:可对 NSPPE 进程内存核心转储文件进行分析,以发现包含重复字符的异常长字符串,这些字符串可能表明有人试图进行攻击。

利用请求的响应示例(Mandiant)

攻击目标

一旦威胁攻击者成功利用 CVE-2023-4966 漏洞,便可进行网络侦察,窃取账户凭据,并通过 RDP 进行横向移动,此阶段使用的工具如下:

  • net.exe – 活动目录 (AD) 侦查
  • netscan.exe – 内部网络枚举
  • 7-zip – 创建用于压缩侦察数据的加密分段归档文件
  • certutil – 对数据文件进行编码(base64)和解码,并部署后门程序
  • e.exe和d.dll–加载到 LSASS 进程内存并创建内存转储文件
  • sh3.exe – 运行 Mimikatz LSADUMP 命令以提取凭证
  • FREEFIRE – 新型轻量级 .NET 后门,使用 Slack 进行命令和控制
  • Atera – 远程监控和管理
  • AnyDesk – 远程桌面
  • SplashTop – 远程桌面

值得注意的是,尽管上述许多工具在企业环境中非常常见,但它们组合部署,可能就是内部正在遭受网络攻击的标志,像 FREEFIRE 工具更能表明内部存在漏洞。


转自Freebuf,原文链接:https://www.freebuf.com/news/382563.html

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/46651
如有侵权请联系:admin#unsafe.sh