美国关基组织机构遭 Netscaler ADC 0day 漏洞利用攻击

美国政府提醒称，威胁行动者利用0day RCE 漏洞 (CVE-2023-3519)攻击美国关键基础设施行业机构的网络。该漏洞位于 NetScaler ADC 和 Gateway 中，Citrix 于本周修复。

美国网络安全和基础设施安全局 (CISA) 表示，攻击发生在六月份，黑客利用访问权限窃取活动目录的数据。

黑客窃取 AD 数据

CISA 在本周发布的一份安全公告中提醒称，黑客利用该未认证的远程代码执行 (RCE) 漏洞在目标的非生产NetScaler Application Delivery Controller (ADC) 设备上植入 webshell。该后门可使攻击者枚举活动目录对象，包括网络上的用户、组、应用和设备以及窃取AD数据。

CISA 指出，由于目标 NetScaler ADC 设备在网络隔离环境中，黑客无法横向移动到域控制器。CISA 发布安全公告，内含相关战略、技术和程序 (TTPs) 和检测方法，帮助组织机构尤其是关基行业判断系统是否遭攻陷。

在初始利用阶段，黑客将含有通用 webshell、发现脚本和 setuid 二进制的 TGZ 文档上传到易受攻击的设备。

攻击者在子网上进行SMB 扫描并利用该 webshell 检查和提取活动目录清单，目标在于：

攻击者使用 OpenSSL 库机密所发现数据并以伪装成 PNG 镜像的 tarball 以压缩形式提取到 web 可访问的位置。黑客似乎通过删除授权文件来覆盖踪迹，阻止管理员远程登录。为重新获取访问权限，需要以单个用户模式重启，这样做可能会删除工件。

攻击者在利用时，该漏洞还是 0day 状态。NetScaler 管理员应当尽快更新 Citrix 以修复该漏洞。

数千台服务器遭暴露

非营利组织机构 The Shadowserver Foundation 的初始评估显示，CVE-2023-3519很可能影响暴露在互联网上的逾1.1万台 NetScaler ADC 和 Gateway 服务器。该组织机构今天表示，优化查询后发现7月1日前返回“最新修改”标头的所有 NetScaler 设备，这一数字将增长为1.5万。增长的原因在于提升了对 NetScaler AAA（认证虚拟服务器）设备的检测范围。尽管有所增长，但这一数字只是保守估计。CISA 还发布了一系列命令，可供组织机构检查攻陷迹象。

命令栈导致root 访问

7月18日，Citrix 修复了CVE-2023-3519以及其它两个严重性不太高的漏洞，其中一个是反射型XSS 漏洞（CVSS评分8.3），另一个是CVE-2023-3466。如果受害者位于和易受攻击设备一样的网络上，则该漏洞很可能遭利用。

另外一个可提权至 root 的漏洞是VE-2023-3467，CVSS 评分为8.0，可导致攻击者以最低权限升级至 NetScaler 命令行接口 (CLI)。

网络安全公司 Resillion 的研究人员 Jorren Geurts 和 Wouter Rijkborst 发布该漏洞的具体技术细节，解释称 NetScaler CLI 中的栈特定命令可使具有只读权限的任意用户获得系统上的 root 权限。

研究人员支出，低权限用户也可使用 web 管理接口中的相同命令获得设备上的 root 权限。然而，Rjkborst 表示该方法不太稳定。

虽然目前尚不清楚这些不太严重的漏洞是否遭在野利用，但已经具有网络访问权限的攻击者可利用它们提升在网络上的权限。

最近，雅诗兰黛公司遭 Clop 勒索组织利用 MOVEit 0day 的攻击以及 ALPHV/BlackCat 勒索团伙的攻击。目前尚不清楚 ALPH/BlackCat 是否获得初始访问权限但该勒索团伙炫耀称，在该公司委托微软 DART 和 Mandiant 服务处理第一起事件的两周后，他们仍然位于网络中。

威胁行动者们尤其是高阶组织，并不总是急于在受害者网络中横向移动，有时候他们会静等，找到噪音不太大的方法，提升攻击成功率。