Bleeping Computer 网站披露,黑客正在利用 "Citrix Bleed "漏洞(被追踪为 CVE-2023-4966)攻击美洲、欧洲、非洲和亚太地区的政府机构、技术和法律组织。
Mandiant 研究人员表示,自 2023 年 8 月下旬以来,有四项网络攻击活动持续针对易受攻击的 Citrix NetScaler ADC 和 Gateway 设备。
Citrix Bleed 漏洞
2023 年 10 月 10 日,安全研究人员发现并披露 Citrix Bleed CVE-2023-4966 漏洞。该漏洞主要影响 Citrix NetScaler ADC 和 NetScaler Gateway,允许未经授权的网络攻击者访问设备上的敏感信息。漏洞修复程序发布一周后,Mandiant 又透露该漏洞自 8 月下旬以来一直处于零日攻击状态,威胁攻击者利用该漏洞劫持现有的已验证会话,绕过多因素保护。
据悉,威胁攻击者使用特制的 HTTP GET 请求,迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容,在窃取这些验证 cookie 后,网络攻击者可以无需再次执行 MFA 验证,便可访问设备。
发现上述问题后,Citrix 再次向管理员发出了警示,敦促采取有效手段,以保护自己的系统免遭网络攻击。
10 月 25 日,AssetNote 研究人员发布了一个概念验证(PoC)漏洞,演示了如何通过会话令牌盗窃劫持 NetScaler 帐户。
攻击活动持续进行中
Mandiant 强调由于设备上缺乏日志记录,需要网络应用程序防火墙 (WAF) 和其它网络流量监控设备记录流量并确定设备是否被利用,除非企业网络在攻击前使用上述监控设备,否则就无法进行任何历史分析,研究人员只能进行实时观察,这就给调查 CVE-2023-3966 的利用情况带来了更多的挑战。
更糟糕的是,即使受害目标发现自身遭遇了攻击,网络攻击者仍能保持隐蔽性,使用 net.exe 和 netscan.exe 等常用管理工具作掩护,与日常操作融为一体。Mandiant 的研究人员主要通过以下途径识别利用企图和会话劫持:
- WAF 请求分析:WAF 工具可记录对脆弱端点的请求;
- 登录模式监控:客户端和源 IP 地址不匹配以及 ns.log 文件中写入的来自同一 IP 地址的多个会话是潜在的未经授权访问的迹象。
IP 不匹配示例(Mandiant)
- Windows 注册表相关性: 将 Citrix VDA 系统上的 Windows 注册表项与 ns.log 数据关联起来,可以追踪网络攻击者的来源。
- 内存转储检查:可对 NSPPE 进程内存核心转储文件进行分析,以发现包含重复字符的异常长字符串,这些字符串可能表明有人试图进行攻击。
利用请求的响应示例(Mandiant)
攻击目标
一旦威胁攻击者成功利用 CVE-2023-4966 漏洞,便可进行网络侦察,窃取账户凭据,并通过 RDP 进行横向移动,此阶段使用的工具如下:
- net.exe - 活动目录 (AD) 侦查
- netscan.exe - 内部网络枚举
- 7-zip - 创建用于压缩侦察数据的加密分段归档文件
- certutil - 对数据文件进行编码(base64)和解码,并部署后门程序
- e.exe和d.dll--加载到 LSASS 进程内存并创建内存转储文件
- sh3.exe - 运行 Mimikatz LSADUMP 命令以提取凭证
- FREEFIRE - 新型轻量级 .NET 后门,使用 Slack 进行命令和控制
- Atera - 远程监控和管理
- AnyDesk - 远程桌面
- SplashTop - 远程桌面
值得注意的是,尽管上述许多工具在企业环境中非常常见,但它们组合部署,可能就是内部正在遭受网络攻击的标志,像 FREEFIRE 工具更能表明内部存在漏洞。
文章来源:https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/