freeBuf
黑客正在利用 Citrix Bleed 漏洞攻击全球政府网络!
2023-11-02 11:19:54
所属地 上海

Bleeping Computer 网站披露,黑客正在利用 "Citrix Bleed "漏洞(被追踪为 CVE-2023-4966)攻击美洲、欧洲、非洲和亚太地区的政府机构、技术和法律组织。1698895097_654314f9cf6184f598559.png!small?1698895098068

Mandiant 研究人员表示,自 2023 年 8 月下旬以来,有四项网络攻击活动持续针对易受攻击的 Citrix NetScaler ADC 和 Gateway 设备。

Citrix Bleed 漏洞

2023 年 10 月 10 日,安全研究人员发现并披露 Citrix Bleed CVE-2023-4966 漏洞。该漏洞主要影响 Citrix NetScaler ADC 和 NetScaler Gateway,允许未经授权的网络攻击者访问设备上的敏感信息。漏洞修复程序发布一周后,Mandiant 又透露该漏洞自 8 月下旬以来一直处于零日攻击状态,威胁攻击者利用该漏洞劫持现有的已验证会话,绕过多因素保护。

据悉,威胁攻击者使用特制的 HTTP GET 请求,迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容,在窃取这些验证 cookie 后,网络攻击者可以无需再次执行 MFA 验证,便可访问设备。

发现上述问题后,Citrix 再次向管理员发出了警示,敦促采取有效手段,以保护自己的系统免遭网络攻击。

10 月 25 日,AssetNote 研究人员发布了一个概念验证(PoC)漏洞,演示了如何通过会话令牌盗窃劫持 NetScaler 帐户。

攻击活动持续进行中

Mandiant 强调由于设备上缺乏日志记录,需要网络应用程序防火墙 (WAF) 和其它网络流量监控设备记录流量并确定设备是否被利用,除非企业网络在攻击前使用上述监控设备,否则就无法进行任何历史分析,研究人员只能进行实时观察,这就给调查 CVE-2023-3966 的利用情况带来了更多的挑战。

更糟糕的是,即使受害目标发现自身遭遇了攻击,网络攻击者仍能保持隐蔽性,使用 net.exe 和 netscan.exe 等常用管理工具作掩护,与日常操作融为一体。Mandiant  的研究人员主要通过以下途径识别利用企图和会话劫持:

WAF 请求分析:WAF 工具可记录对脆弱端点的请求;

登录模式监控:客户端和源 IP 地址不匹配以及 ns.log 文件中写入的来自同一 IP 地址的多个会话是潜在的未经授权访问的迹象。1698895146_6543152a27d2c2a9492de.png!small?1698895146259

IP 不匹配示例(Mandiant)

Windows 注册表相关性: 将 Citrix VDA 系统上的 Windows 注册表项与 ns.log 数据关联起来,可以追踪网络攻击者的来源。

内存转储检查:可对 NSPPE 进程内存核心转储文件进行分析,以发现包含重复字符的异常长字符串,这些字符串可能表明有人试图进行攻击。1698895163_6543153b873f8669751ba.png!small?1698895163475

利用请求的响应示例(Mandiant)

攻击目标

一旦威胁攻击者成功利用 CVE-2023-4966 漏洞,便可进行网络侦察,窃取账户凭据,并通过 RDP 进行横向移动,此阶段使用的工具如下:

net.exe - 活动目录 (AD) 侦查

netscan.exe - 内部网络枚举

7-zip - 创建用于压缩侦察数据的加密分段归档文件

certutil - 对数据文件进行编码(base64)和解码,并部署后门程序

e.exe和d.dll--加载到 LSASS 进程内存并创建内存转储文件

sh3.exe - 运行 Mimikatz LSADUMP 命令以提取凭证

FREEFIRE - 新型轻量级 .NET 后门,使用 Slack 进行命令和控制

Atera - 远程监控和管理

AnyDesk - 远程桌面

SplashTop - 远程桌面

值得注意的是,尽管上述许多工具在企业环境中非常常见,但它们组合部署,可能就是内部正在遭受网络攻击的标志,像 FREEFIRE 工具更能表明内部存在漏洞。

文章来源:

https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录