威胁行为者正在利用追踪为 CVE-2023-4966 的“Citrix Bleed”漏洞来攻击美洲、欧洲、非洲和亚太地区的政府、技术和法律组织。
Mandiant的研究人员 报告 称,有四项正在进行的活动针对易受攻击的 Citrix NetScaler ADC 和网关设备,这些攻击自 2023 年 8 月下旬以来一直在进行。
该安全公司发现了与凭证盗窃和横向移动相关的利用后活动,并警告说,利用留下的取证证据有限,使得这些攻击特别隐蔽。
Citrix 出血
Citrix Bleed CVE-2023-4966 漏洞 于 10 月 10 日被披露 为影响 Citrix NetScaler ADC 和 NetScaler Gateway 的严重严重缺陷,允许访问设备上的敏感信息。
修复程序发布一周后,Mandiant 透露,该漏洞是自 8 月底以来一直被积极利用的零日漏洞 ,黑客利用该漏洞劫持现有的经过身份验证的会话并绕过多因素保护。
攻击者使用特制的 HTTP GET 请求强制设备返回系统内存内容,其中包括身份验证后和 MFA 检查后发出的有效 Netscaler AAA 会话 cookie。
窃取这些身份验证 cookie 的黑客无需再次执行 MFA 验证即可访问设备。
Citrix 随后 向管理员发出了第二次警告,敦促他们保护自己的系统免受持续攻击,这些攻击复杂性低,不需要任何用户交互。
10 月 25 日,AssetNote 研究人员 发布了一个概念验证 (PoC) 漏洞, 演示了如何通过会话令牌盗窃来劫持 NetScaler 帐户。
持续的攻击
Mandiant 解释说,设备上缺乏日志记录使得调查 CVE-2023-3966 的利用具有挑战性,需要 Web 应用程序防火墙 (WAF) 和其他网络流量监控设备来记录流量并确定设备是否被利用。
除非网络在攻击前使用这种类型的监控,否则它会阻止任何历史分析并限制研究人员进行实时观察。即使在利用后,攻击者仍然保持隐秘,采用离地技术和常见的管理工具(如 net.exe 和 netscan.exe)来融入日常操作。
Mandiant 能够通过以下途径之一识别利用尝试和会话劫持:
WAF 请求分析:WAF 工具可以记录对易受攻击端点的请求。
登录模式监控:客户端和源 IP 地址不匹配以及写入 ns.log 文件中的同一 IP 地址的多个会话是潜在未经授权访问的迹象。
文章原文链接:https://www.anquanke.com/post/id/291174
