黑客利用 Citrix Bleed 漏洞攻击全球政府网络

admin
admin
admin
102975
文章
87
评论
2023年11月2日16:33:35评论80 views字数 2014阅读6分42秒阅读模式

更多全球网络安全资讯尽在邑安全


黑客利用 Citrix Bleed 漏洞攻击全球政府网络

威胁行为者正在利用追踪为 CVE-2023-4966 的“Citrix Bleed”漏洞来攻击美洲、欧洲、非洲和亚太地区的政府、技术和法律组织。
Mandiant的研究人员 报告 称,有四项正在进行的活动针对易受攻击的 Citrix NetScaler ADC 和网关设备,这些攻击自 2023 年 8 月下旬以来一直在进行。
该安全公司发现了与凭证盗窃和横向移动相关的利用后活动,并警告说,利用留下的取证证据有限,使得这些攻击特别隐蔽。

Citrix 出血

Citrix Bleed CVE-2023-4966 漏洞 于 10 月 10 日被披露 为影响 Citrix NetScaler ADC 和 NetScaler Gateway 的严重严重缺陷,允许访问设备上的敏感信息。
修复程序发布一周后,Mandiant 透露,该漏洞是自 8 月底以来一直被积极利用的零日漏洞 ,黑客利用该漏洞劫持现有的经过身份验证的会话并绕过多因素保护。
攻击者使用特制的 HTTP GET 请求强制设备返回系统内存内容,其中包括身份验证后和 MFA 检查后发出的有效 Netscaler AAA 会话 cookie。
窃取这些身份验证 cookie 的黑客无需再次执行 MFA 验证即可访问设备。
Citrix 随后 向管理员发出了第二次警告,敦促他们保护自己的系统免受持续攻击,这些攻击复杂性低,不需要任何用户交互。
10 月 25 日,AssetNote 研究人员 发布了一个概念验证 (PoC) 漏洞, 演示了如何通过会话令牌盗窃来劫持 NetScaler 帐户。

持续的攻击

Mandiant 解释说,设备上缺乏日志记录使得调查 CVE-2023-3966 的利用具有挑战性,需要 Web 应用程序防火墙 (WAF) 和其他网络流量监控设备来记录流量并确定设备是否被利用。
除非网络在攻击前使用这种类型的监控,否则它会阻止任何历史分析并限制研究人员进行实时观察。
即使在利用后,攻击者仍然保持隐秘,采用离地技术和常见的管理工具(如 net.exe 和 netscan.exe)来融入日常操作。
Mandiant 能够通过以下途径之一识别利用尝试和会话劫持:

  • WAF 请求分析:WAF 工具可以记录对易受攻击端点的请求。

  • 登录模式监控:客户端和源 IP 地址不匹配以及写入 ns.log 文件中的同一 IP 地址的多个会话是潜在未经授权访问的迹象。

黑客利用 Citrix Bleed 漏洞攻击全球政府网络
IP 不匹配示例 (Mandiant)


  • Windows 注册表关联:将 Citrix VDA 系统上的 Windows 注册表条目与 ns.log 数据关联起来,可以追踪攻击者的来源。

  • 内存转储检查:可以分析 NSPPE 进程内存核心转储文件中包含重复字符的异常长字符串,这可能表明存在利用尝试。

黑客利用 Citrix Bleed 漏洞攻击全球政府网络
对利用请求的示例响应 (Mandiant)

攻击目标

利用 CVE-2023-4966 后,攻击者进行网络侦察、窃取帐户凭据并通过 RDP 进行横向移动。
威胁行为者在此阶段使用的工具如下:
  • net.exe – Active Directory (AD) 侦察
  • netscan.exe – 内部网络枚举。
  • 7-zip – 创建加密的分段存档以压缩侦察数据
  • certutil – 编码 (base64) 和解码数据文件并部署后门
  • e.exed.dll – 加载到 LSASS 进程内存并创建内存转储文件
  • sh3.exe – 运行 Mimikatz LSADUMP 命令以提取凭据
  • FREEFIRE – 使用 Slack 进行命令和控制的新型轻量级 .NET 后门
  • Atera – 远程监控和管理
  • AnyDesk – 远程桌面
  • SplashTop – 远程桌面
尽管上述许多内容在企业环境中很常见,但它们的组合部署可能是妥协的迹象,而像 FREEFIRE 这样的工具是违规的明显迹象。
研究人员发布了一条 Yara 规则 ,可用于检测设备上的免费火灾。
Mandiant 表示,在各种活动中利用 CVE-2023-4966 的四个威胁行为者在利用后阶段表现出一些重叠。
所有四个都广泛使用 csvde.exe、certutil.exe、local.exe 和 nbtscan.exe,而两个活动集群则使用 Mimikatz。
应用可用的安全更新并不能解决现有的漏洞,因此需要完整的事件响应。
有关系统恢复的建议,请查看 Mandiant 的修复指南

原文来自: bleepingcomputer.com

原文链接:https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/

欢迎收藏并分享朋友圈,让五邑人网络更安全

黑客利用 Citrix Bleed 漏洞攻击全球政府网络

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 


原文始发于微信公众号(邑安全):黑客利用 Citrix Bleed 漏洞攻击全球政府网络

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月2日16:33:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 Citrix Bleed 漏洞攻击全球政府网络https://cn-sec.com/archives/2169146.html

发表评论

匿名网友 填写信息