紧急警报！黑客利用Citrix Bleed漏洞攻击全球政府网络

Bleeping Computer 网站披露，黑客正在利用 "Citrix Bleed "漏洞（被追踪为 CVE-2023-4966）攻击美洲、欧洲、非洲和亚太地区的政府机构、技术和法律组织。

Mandiant 研究人员表示，自 2023 年 8 月下旬以来，有四项网络攻击活动持续针对易受攻击的 Citrix NetScaler ADC 和 Gateway 设备。

Citrix Bleed 漏洞

2023 年 10 月 10 日，安全研究人员发现并披露 Citrix Bleed CVE-2023-4966 漏洞。该漏洞主要影响 Citrix NetScaler ADC 和 NetScaler Gateway，允许未经授权的网络攻击者访问设备上的敏感信息。漏洞修复程序发布一周后，Mandiant 又透露该漏洞自 8 月下旬以来一直处于零日攻击状态，威胁攻击者利用该漏洞劫持现有的已验证会话，绕过多因素保护。

据悉，威胁攻击者使用特制的 HTTP GET 请求，迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容，在窃取这些验证 cookie 后，网络攻击者可以无需再次执行 MFA 验证，便可访问设备。

发现上述问题后，Citrix 再次向管理员发出了警示，敦促采取有效手段，以保护自己的系统免遭网络攻击。

10 月 25 日，AssetNote 研究人员发布了一个概念验证（PoC）漏洞，演示了如何通过会话令牌盗窃劫持 NetScaler 帐户。

攻击活动持续进行中

Mandiant 强调由于设备上缺乏日志记录，需要网络应用程序防火墙 (WAF) 和其它网络流量监控设备记录流量并确定设备是否被利用，除非企业网络在攻击前使用上述监控设备，否则就无法进行任何历史分析，研究人员只能进行实时观察，这就给调查 CVE-2023-3966 的利用情况带来了更多的挑战。

更糟糕的是，即使受害目标发现自身遭遇了攻击，网络攻击者仍能保持隐蔽性，使用 net.exe 和 netscan.exe 等常用管理工具作掩护，与日常操作融为一体。Mandiant  的研究人员主要通过以下途径识别利用企图和会话劫持：

• WAF 请求分析：WAF 工具可记录对脆弱端点的请求；
• 登录模式监控：客户端和源 IP 地址不匹配以及 ns.log 文件中写入的来自同一 IP 地址的多个会话是潜在的未经授权访问的迹象。

IP 不匹配示例（Mandiant）

• Windows 注册表相关性： 将 Citrix VDA 系统上的 Windows 注册表项与 ns.log 数据关联起来，可以追踪网络攻击者的来源。
• 内存转储检查：可对 NSPPE 进程内存核心转储文件进行分析，以发现包含重复字符的异常长字符串，这些字符串可能表明有人试图进行攻击。

利用请求的响应示例（Mandiant）

攻击目标

一旦威胁攻击者成功利用 CVE-2023-4966 漏洞，便可进行网络侦察，窃取账户凭据，并通过 RDP 进行横向移动，此阶段使用的工具如下：

• net.exe - 活动目录 (AD) 侦查
• netscan.exe - 内部网络枚举
• 7-zip - 创建用于压缩侦察数据的加密分段归档文件
• certutil - 对数据文件进行编码(base64)和解码，并部署后门程序
• e.exe和d.dll--加载到 LSASS 进程内存并创建内存转储文件
• sh3.exe - 运行 Mimikatz LSADUMP 命令以提取凭证
• FREEFIRE - 新型轻量级 .NET 后门，使用 Slack 进行命令和控制
• Atera - 远程监控和管理
• AnyDesk - 远程桌面
• SplashTop - 远程桌面

值得注意的是，尽管上述许多工具在企业环境中非常常见，但它们组合部署，可能就是内部正在遭受网络攻击的标志，像 FREEFIRE 工具更能表明内部存在漏洞。

免责声明：本文系网络转载或改编，未找到原创作者，版权归原作者所有。如涉及版权，请联系删