日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
黑客正在利用CitrixBleed漏洞攻擊全球政府網(wǎng)絡(luò)!

Bleeping Computer 網(wǎng)站披露,黑客正在利用 "Citrix Bleed "漏洞(被追蹤為 CVE-2023-4966)攻擊美洲、歐洲、非洲和亞太地區(qū)的政府機(jī)構(gòu)、技術(shù)和法律組織。

成都創(chuàng)新互聯(lián)公司是專業(yè)的淇濱網(wǎng)站建設(shè)公司,淇濱接單;提供成都網(wǎng)站建設(shè)、成都做網(wǎng)站,網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行淇濱網(wǎng)站開發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來合作!

Mandiant 研究人員表示,自 2023 年 8 月下旬以來,有四項(xiàng)網(wǎng)絡(luò)攻擊活動(dòng)持續(xù)針對(duì)易受攻擊的 Citrix NetScaler ADC 和 Gateway 設(shè)備。

Citrix Bleed 漏洞

2023 年 10 月 10 日,安全研究人員發(fā)現(xiàn)并披露 Citrix Bleed CVE-2023-4966 漏洞。該漏洞主要影響 Citrix NetScaler ADC 和 NetScaler Gateway,允許未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者訪問設(shè)備上的敏感信息。漏洞修復(fù)程序發(fā)布一周后,Mandiant 又透露該漏洞自 8 月下旬以來一直處于零日攻擊狀態(tài),威脅攻擊者利用該漏洞劫持現(xiàn)有的已驗(yàn)證會(huì)話,繞過多因素保護(hù)。

據(jù)悉,威脅攻擊者使用特制的 HTTP GET 請(qǐng)求,迫使目標(biāo)設(shè)備返回身份驗(yàn)證后和 MFA 檢查后發(fā)布的有效 Netscaler AAA 會(huì)話 cookie 等系統(tǒng)內(nèi)存內(nèi)容,在竊取這些驗(yàn)證 cookie 后,網(wǎng)絡(luò)攻擊者可以無需再次執(zhí)行 MFA 驗(yàn)證,便可訪問設(shè)備。

發(fā)現(xiàn)上述問題后,Citrix 再次向管理員發(fā)出了警示,敦促采取有效手段,以保護(hù)自己的系統(tǒng)免遭網(wǎng)絡(luò)攻擊。

10 月 25 日,AssetNote 研究人員發(fā)布了一個(gè)概念驗(yàn)證(PoC)漏洞,演示了如何通過會(huì)話令牌盜竊劫持 NetScaler 帳戶。

攻擊活動(dòng)持續(xù)進(jìn)行中

Mandiant 強(qiáng)調(diào)由于設(shè)備上缺乏日志記錄,需要網(wǎng)絡(luò)應(yīng)用程序防火墻 (WAF) 和其它網(wǎng)絡(luò)流量監(jiān)控設(shè)備記錄流量并確定設(shè)備是否被利用,除非企業(yè)網(wǎng)絡(luò)在攻擊前使用上述監(jiān)控設(shè)備,否則就無法進(jìn)行任何歷史分析,研究人員只能進(jìn)行實(shí)時(shí)觀察,這就給調(diào)查 CVE-2023-3966 的利用情況帶來了更多的挑戰(zhàn)。

更糟糕的是,即使受害目標(biāo)發(fā)現(xiàn)自身遭遇了攻擊,網(wǎng)絡(luò)攻擊者仍能保持隱蔽性,使用 net.exe 和 netscan.exe 等常用管理工具作掩護(hù),與日常操作融為一體。Mandiant  的研究人員主要通過以下途徑識(shí)別利用企圖和會(huì)話劫持:

  • WAF 請(qǐng)求分析:WAF 工具可記錄對(duì)脆弱端點(diǎn)的請(qǐng)求;
  • 登錄模式監(jiān)控:客戶端和源 IP 地址不匹配以及 ns.log 文件中寫入的來自同一 IP 地址的多個(gè)會(huì)話是潛在的未經(jīng)授權(quán)訪問的跡象。

IP 不匹配示例(Mandiant)

  • Windows 注冊(cè)表相關(guān)性: 將 Citrix VDA 系統(tǒng)上的 Windows 注冊(cè)表項(xiàng)與 ns.log 數(shù)據(jù)關(guān)聯(lián)起來,可以追蹤網(wǎng)絡(luò)攻擊者的來源。
  • 內(nèi)存轉(zhuǎn)儲(chǔ)檢查:可對(duì) NSPPE 進(jìn)程內(nèi)存核心轉(zhuǎn)儲(chǔ)文件進(jìn)行分析,以發(fā)現(xiàn)包含重復(fù)字符的異常長(zhǎng)字符串,這些字符串可能表明有人試圖進(jìn)行攻擊。

利用請(qǐng)求的響應(yīng)示例(Mandiant)

攻擊目標(biāo)

一旦威脅攻擊者成功利用 CVE-2023-4966 漏洞,便可進(jìn)行網(wǎng)絡(luò)偵察,竊取賬戶憑據(jù),并通過 RDP 進(jìn)行橫向移動(dòng),此階段使用的工具如下:

  • net.exe - 活動(dòng)目錄 (AD) 偵查
  • netscan.exe - 內(nèi)部網(wǎng)絡(luò)枚舉
  • 7-zip - 創(chuàng)建用于壓縮偵察數(shù)據(jù)的加密分段歸檔文件
  • certutil - 對(duì)數(shù)據(jù)文件進(jìn)行編碼(base64)和解碼,并部署后門程序
  • e.exe和d.dll--加載到 LSASS 進(jìn)程內(nèi)存并創(chuàng)建內(nèi)存轉(zhuǎn)儲(chǔ)文件
  • sh3.exe - 運(yùn)行 Mimikatz LSADUMP 命令以提取憑證
  • FREEFIRE - 新型輕量級(jí) .NET 后門,使用 Slack 進(jìn)行命令和控制
  • Atera - 遠(yuǎn)程監(jiān)控和管理
  • AnyDesk - 遠(yuǎn)程桌面
  • SplashTop - 遠(yuǎn)程桌面

值得注意的是,盡管上述許多工具在企業(yè)環(huán)境中非常常見,但它們組合部署,可能就是內(nèi)部正在遭受網(wǎng)絡(luò)攻擊的標(biāo)志,像 FREEFIRE 工具更能表明內(nèi)部存在漏洞。

文章來源:https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/


新聞名稱:黑客正在利用CitrixBleed漏洞攻擊全球政府網(wǎng)絡(luò)!
網(wǎng)頁(yè)URL:http://www.5511xx.com/article/ccsppjg.html