企业宣传,产品推广,广告招商,广告投放联系seowdb

Citrix Bleed 漏洞攻击全球政府网络! 黑客正在利用

Bleeping Computer 网站披露,黑客正在利用 "Citrix Bleed "漏洞(被追踪为 CVE-2023-4966)攻击美洲、欧洲、非洲和亚太地区的政府机构、技术和法律组织。

Mandiant 研究人员表示,自 2023 年 8 月下旬以来,有四项网络攻击活动持续针对易受攻击的 Citrix NetScaler ADC 和 Gateway 设备。

Citrix Bleed 漏洞

2023 年 10 月 10 日,安全研究人员发现并披露 Citrix Bleed CVE-2023-4966 漏洞。该漏洞主要影响 Citrix NetScaler ADC 和 NetScaler Gateway,允许未经授权的网络攻击者访问设备上的敏感信息。漏洞修复程序发布一周后,Mandiant 又透露该漏洞自 8 月下旬以来一直处于零日攻击状态,威胁攻击者利用该漏洞劫持现有的已验证会话,绕过多因素保护。

据悉,威胁攻击者使用特制的 HTTP GET 请求,迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容,在窃取这些验证 cookie 后,网络攻击者可以无需再次执行 MFA 验证,便可访问设备。

发现上述问题后,Citrix 再次向管理员发出了警示,敦促采取有效手段,以保护自己的系统免遭网络攻击。

10 月 25 日,AssetNote 研究人员发布了一个概念验证(PoC)漏洞,演示了如何通过会话令牌盗窃劫持 NetScaler 帐户。

攻击活动持续进行中

Mandiant 强调由于设备上缺乏日志记录,需要网络应用程序防火墙 (WAF) 和其它网络流量监控设备记录流量并确定设备是否被利用,除非企业网络在攻击前使用上述监控设备,否则就无法进行任何历史分析,研究人员只能进行实时观察,这就给调查 CVE-2023-3966 的利用情况带来了更多的挑战。

更糟糕的是,即使受害目标发现自身遭遇了攻击,网络攻击者仍能保持隐蔽性,使用 net.exe 和 netscan.exe 等常用管理工具作掩护,与日常操作融为一体。Mandiant 的研究人员主要通过以下途径识别利用企图和会话劫持:

IP 不匹配示例(Mandiant)

利用请求的响应示例(Mandiant)

攻击目标

一旦威胁攻击者成功利用 CVE-2023-4966 漏洞,便可进行网络侦察,窃取账户凭据,并通过 RDP 进行横向移动,此阶段使用的工具如下:

值得注意的是,尽管上述许多工具在企业环境中非常常见,但它们组合部署,可能就是内部正在遭受网络攻击的标志,像 FREEFIRE 工具更能表明内部存在漏洞。

© 版权声明
评论 抢沙发
加载中~
每日一言
不怕万人阻挡,只怕自己投降
Not afraid of people blocking, I'm afraid their surrender