正文

Citrix Bleed漏洞(CVE-2023-4966)的大规模利用正在进行中

admin
admin V管理员 /0 评论 /209 阅读
0215
此篇文章发布距今已超过428天,您需要注意文章的内容或图片是否可用!

导 

安全研究人员警告称,数千个 Citrix NetScaler ADC 和 Gateway 实例仍未针对被广泛利用的严重漏洞进行修补。

该漏洞自 8 月以来一直被作为0day漏洞利用,漏洞编号为 CVE-2023-4966(CVSS 评分为 9.4),现在被称为“Citrix Bleed”。它允许未经身份验证的攻击者从配置为 AAA 虚拟服务器或网关的本地设备泄漏敏感信息。

Citrix于 10 月 10 日发布了该漏洞的补丁,并于上周警告(https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/)称,黑客组织正在积极利用该漏洞进行会话劫持,这使他们能够完全绕过身份验证,包括多因素身份验证保护。

在过去的几天里,安全研究人员开始对 CVE-2023-4966 被广泛利用发出警报,包括勒索软件组织在内的多个专业黑客组织将可通过互联网访问的 NetScaler ADC 和网关实例作为目标。

持续的大规模利用大约在同一时间开始,Assetnote发布了该漏洞的技术文章及其概念验证 (PoC) 利用(https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966)。

安全研究员 Kevin Beaumont 表示,大规模利用并不一定是由 PoC 发布引发的,因为“很明显多个组织已经获得了技术细节”。

通过利用该漏洞,攻击者可以获得对 NetScaler ADC 和网关设备的内存访问权限,这使他们能够提取会话 cookie 并尝试绕过身份验证。这意味着即使打了补丁的实例也面临被利用的风险,因为会话令牌保留在内存中。

受损的 cookie 允许攻击者重播会话以进行身份验证。Beaumont说,他们所需要做的就是输入“aaaaaaaaaaaaaaaaaaaaaaaa”直到进入。

“此 cookie 是在身份验证后发出的,其中可以包括多因素身份验证检查。能够访问有效 cookie 的攻击者可以在不知道用户名、密码或访问多因素身份验证令牌或设备的情况下与 NetScaler 设备建立经过身份验证的会话。”Google 的网络安全部门 Mandiant 解释道。

周末,Beaumont警告说,攻击者窃取了超过 20,000 个受攻击的 NetScaler 服务器的会话令牌。截至 11 月 1 日,Greynoise的数据显示,过去 10 天内有 158 个唯一 IP 地址被用来针对易受攻击的实例。

Beaumont 警告说,大约一半的 NetScaler 客户尚未应用补丁,其中包括电信、电力、食品和政府组织,Beaumont上周发布了一款扫描仪,以帮助识别易受攻击的 NetScaler 服务器。

Citrix 上周指出,为了完全解决这个问题,组织应该应用可用的补丁,然后终止所有活动和持久的会话,并强调除了这些建议的操作之外,没有已知的解决方法或缓解措施。

“如果您使用的是受影响的版本,我们敦促您立即安装建议的更新,因为此漏洞已被确定为严重漏洞。我们知道有人利用这个漏洞进行有针对性的攻击。”这家科技巨头表示。

Mandiant 表示(https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966),目前正在追踪四个攻击者组织,他们主动针对 CVE-2023-4966,危害 NetScaler 服务器,并执行各种利用后活动。

Mandiant 表示,攻击者部署了各种用于侦察和凭证盗窃的工具、用于持久访问的远程监控和管理 (RMM) 工具、名为 FreeFire 的后门、离地二进制文件以及用于横向移动的实用程序。

根据 Mandiant 的说法,由于 NetScaler 不会记录与该错误相关的请求,因此组织可以使用“Web 应用程序防火墙 (WAF) 或其他记录指向 NetScaler ADC 或网关设备的 HTTP/S 请求的网络设备”来寻找漏洞利用尝试。

这家网络安全公司发布了有关组织如何识别会话劫持证据的全面说明,以及帮助威胁猎手的失陷检测指标(IoC)。

Mandiant 发现针对美洲、欧洲、中东和非洲以及亚太地区的政府、法律和专业服务以及技术组织的攻击。

报告指出:“鉴于 Citrix 在全球企业中的广泛采用,我们怀疑受影响的组织数量要多得多,而且涉及多个行业。”

参考链接:https://www.securityweek.com/mass-exploitation-of-citrix-bleed-vulnerability-underway/


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com