Bleeping Computer 網(wǎng)站披露，黑客正在利用 "Citrix Bleed "漏洞（被追蹤為 CVE-2023-4966）攻擊美洲、歐洲、非洲和亞太地區(qū)的政府機(jī)構(gòu)、技術(shù)和法律組織。

Mandiant 研究人員表示，自 2023 年 8 月下旬以來，有四項(xiàng)網(wǎng)絡(luò)攻擊活動(dòng)持續(xù)針對(duì)易受攻擊的 Citrix NetScaler ADC 和 Gateway 設(shè)備。

Citrix Bleed 漏洞

2023 年 10 月 10 日，安全研究人員發(fā)現(xiàn)并披露 Citrix Bleed CVE-2023-4966 漏洞。該漏洞主要影響 Citrix NetScaler ADC 和 NetScaler Gateway，允許未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者訪問設(shè)備上的敏感信息。漏洞修復(fù)程序發(fā)布一周后，Mandiant 又透露該漏洞自 8 月下旬以來一直處于零日攻擊狀態(tài)，威脅攻擊者利用該漏洞劫持現(xiàn)有的已驗(yàn)證會(huì)話，繞過多因素保護(hù)。

據(jù)悉，威脅攻擊者使用特制的 HTTP GET 請(qǐng)求，迫使目標(biāo)設(shè)備返回身份驗(yàn)證后和 MFA 檢查后發(fā)布的有效 Netscaler AAA 會(huì)話 cookie 等系統(tǒng)內(nèi)存內(nèi)容，在竊取這些驗(yàn)證 cookie 后，網(wǎng)絡(luò)攻擊者可以無需再次執(zhí)行 MFA 驗(yàn)證，便可訪問設(shè)備。

發(fā)現(xiàn)上述問題后，Citrix 再次向管理員發(fā)出了警示，敦促采取有效手段，以保護(hù)自己的系統(tǒng)免遭網(wǎng)絡(luò)攻擊。

10 月 25 日，AssetNote 研究人員發(fā)布了一個(gè)概念驗(yàn)證（PoC）漏洞，演示了如何通過會(huì)話令牌盜竊劫持 NetScaler 帳戶。

攻擊活動(dòng)持續(xù)進(jìn)行中

Mandiant 強(qiáng)調(diào)由于設(shè)備上缺乏日志記錄，需要網(wǎng)絡(luò)應(yīng)用程序防火墻 (WAF) 和其它網(wǎng)絡(luò)流量監(jiān)控設(shè)備記錄流量并確定設(shè)備是否被利用，除非企業(yè)網(wǎng)絡(luò)在攻擊前使用上述監(jiān)控設(shè)備，否則就無法進(jìn)行任何歷史分析，研究人員只能進(jìn)行實(shí)時(shí)觀察，這就給調(diào)查 CVE-2023-3966 的利用情況帶來了更多的挑戰(zhàn)。

更糟糕的是，即使受害目標(biāo)發(fā)現(xiàn)自身遭遇了攻擊，網(wǎng)絡(luò)攻擊者仍能保持隱蔽性，使用 net.exe 和 netscan.exe 等常用管理工具作掩護(hù)，與日常操作融為一體。Mandiant  的研究人員主要通過以下途徑識(shí)別利用企圖和會(huì)話劫持：

• WAF 請(qǐng)求分析：WAF 工具可記錄對(duì)脆弱端點(diǎn)的請(qǐng)求；
• 登錄模式監(jiān)控：客戶端和源 IP 地址不匹配以及 ns.log 文件中寫入的來自同一 IP 地址的多個(gè)會(huì)話是潛在的未經(jīng)授權(quán)訪問的跡象。

IP 不匹配示例（Mandiant）

• Windows 注冊(cè)表相關(guān)性： 將 Citrix VDA 系統(tǒng)上的 Windows 注冊(cè)表項(xiàng)與 ns.log 數(shù)據(jù)關(guān)聯(lián)起來，可以追蹤網(wǎng)絡(luò)攻擊者的來源。
• 內(nèi)存轉(zhuǎn)儲(chǔ)檢查：可對(duì) NSPPE 進(jìn)程內(nèi)存核心轉(zhuǎn)儲(chǔ)文件進(jìn)行分析，以發(fā)現(xiàn)包含重復(fù)字符的異常長(zhǎng)字符串，這些字符串可能表明有人試圖進(jìn)行攻擊。

利用請(qǐng)求的響應(yīng)示例（Mandiant）

攻擊目標(biāo)

一旦威脅攻擊者成功利用 CVE-2023-4966 漏洞，便可進(jìn)行網(wǎng)絡(luò)偵察，竊取賬戶憑據(jù)，并通過 RDP 進(jìn)行橫向移動(dòng)，此階段使用的工具如下：

• net.exe - 活動(dòng)目錄 (AD) 偵查
• netscan.exe - 內(nèi)部網(wǎng)絡(luò)枚舉
• 7-zip - 創(chuàng)建用于壓縮偵察數(shù)據(jù)的加密分段歸檔文件
• certutil - 對(duì)數(shù)據(jù)文件進(jìn)行編碼(base64)和解碼，并部署后門程序
• e.exe和d.dll--加載到 LSASS 進(jìn)程內(nèi)存并創(chuàng)建內(nèi)存轉(zhuǎn)儲(chǔ)文件
• sh3.exe - 運(yùn)行 Mimikatz LSADUMP 命令以提取憑證
• FREEFIRE - 新型輕量級(jí) .NET 后門，使用 Slack 進(jìn)行命令和控制
• Atera - 遠(yuǎn)程監(jiān)控和管理
• AnyDesk - 遠(yuǎn)程桌面
• SplashTop - 遠(yuǎn)程桌面

值得注意的是，盡管上述許多工具在企業(yè)環(huán)境中非常常見，但它們組合部署，可能就是內(nèi)部正在遭受網(wǎng)絡(luò)攻擊的標(biāo)志，像 FREEFIRE 工具更能表明內(nèi)部存在漏洞。

文章來源：https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/