可能的间谍活动者利用 Citrix 零日漏洞

asmani000

注意：这是一个正在积极分析中的正在发展的活动。我们将根据需要继续在此博文中添加更多指标、狩猎技巧和信息。

安全和网络设备是“边缘设备”，这意味着它们连接到互联网。如果攻击者成功利用这些设备上的漏洞，他们无需人工交互即可获得初始访问权限，从而降低了检测到的机会。只要漏洞仍未被发现，威胁行为者就可以重复使用它来访问其他受害者或重新建立对目标系统的访问。此外，边缘设备和虚拟化软件都难以监控，并且可能不支持端点检测和响应（EDR）解决方案或检测修改或收集取证图像的方法，这进一步降低了检测的 v 可能性并使归因变得复杂。值得注意的是，至少自 2021 年以来，网络间谍威胁行为者一直关注边缘设备，特别是安全、网络、

Citrix CVE-2023-3519 的利用
7月18日，Citrix发布安全公告CTX561482，其中描述了 Citrix Netscaler 应用程序交付控制器 (ADC) 和 Citrix Netscaler Gateway 中的漏洞。其中一个漏洞 CVE-2023-3519 可能允许未经身份验证的远程攻击者执行任意代码。该漏洞的 CVSS 评分为 9.8。Citrix 表示他们已经观察到该漏洞在野外被利用。Mandiant 积极参与涉及最近受损的 ADC 设备的调查，这些设备在 7 月 18 日补丁之前已完全修复以解决 CVE-2023-3519。ADC 主要用于信息技术行业，是企业和云数据中心的重要组成部分，可确保应用程序的持续改进以及可用性、安全性和性能。

Mandiant 强烈建议组织遵循Citrix 的建议，尽快修补易受攻击的设备。Mandiant 将 CVE-2023-3519 归类为高风险漏洞，因为它允许在没有任何已知偏移量的情况下远程执行代码。虽然此漏洞已被广泛利用，但利用代码尚未公开。Mandiant 建议组织优先修复此漏洞。


开发
在分析受感染的设备时，Mandiant 发现了一个简单的 PHP eval Web shell，位 shell 的文件系统修改时间是所有已识别恶意软件中最早的，并且相对紧凑（113 字节）。因此，Mandiant 以中等信心评估，Web shell 是作为初始利用向量的一部分放置在系统上的。

威胁参与者使用 Web shell 修改 NetScaler 配置。特别是，他们尝试停用 NetScaler 高可用性文件同步 (nsfsyncd)。此外，威胁参与者尝试从文件中配置的 Citrix Monitor 中删除进程，/etc/monitrc 然后最终终止 Monitor 进程。此后不久，各种 NetScaler 日志记录了严重故障，导致在利用尝试和设备重新启动后三分钟创建 NetScaler 数据包处理引擎 (NPPE) 核心转储。Mandiant 分析了该转储文件，并识别了与创建第一个 Web shell 的同时发生的 HTTP 请求相关的字符串。

基于代码的相似性，特别是命令的结构，Mandiant 高度确信这些样本与 CVE-2023-3519 的利用有关。截至撰写本文时，尚无针对此漏洞的公开概念验证代码。为了避免将如何利用该漏洞的详细信息泄露给其他威胁参与者，Mandiant 不会详细说明该漏洞是如何被利用的。下面的一些示例可能支持处理此活动时的分类。