Новости Mandiant раскрыла последствия уязвимости Citrix NetScaler ADC/Gateway

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Специалисты детализируют активность киберпреступников.


spctu53u8kcw6iy8pg4tam64h0c706yz.jpg


Специалисты ИБ-компании Mandiant Для просмотра ссылки Войди или Зарегистрируйся активную эксплуатацию уязвимости в системах NetScaler ADC и Gateway компании Citrix . Проблема Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.4) была зафиксирована еще в конце августа 2023 года, но Для просмотра ссылки Войди или Зарегистрируйся только 10 октября.

Уязвимость позволяла злоумышленникам перехватывать управление легитимными пользовательскими сессиями, обходя системы аутентификации, включая пароли и двухфакторную аутентификацию (two-factor authentication, 2FA ). Эксплуатация уязвимости продолжалась даже Для просмотра ссылки Войди или Зарегистрируйся от Citrix.

Аналитики Mandiant сообщают о случаях успешной эксплуатации, в результате которой злоумышленники могли собирать конфиденциальную информацию, внедрять вредоносные программы и перемещаться по сети с использованием протокола RDP . Как было установлено, уязвимая конечная точка была обнаружена с помощью анализа прошивок и создания HTTP -запросов с расширенным заголовком Host, что приводило к раскрытию содержимого системной памяти устройства.

Отследить попытки эксплуатации уязвимости оказалось непросто, поскольку серверные запросы к ней не логировались. Эксперты Mandiant рекомендуют использовать WAF (Web Application Firewall) или схожие сетевые устройства для регистрации HTTP/S запросов в целях идентификации попыток эксплуатации.

Для выявления несанкционированного доступа предлагается анализировать логи WAF, следить за подозрительными паттернами входа в систему NetScaler, проверять ключи Windows Registry и анализировать файлы дампа памяти.

После успешного взлома наблюдались различные действия пост-эксплуатации: разведка, сбор учетных данных, использование различных инструментов для доступа, в том числе Mimikatz для сбора информации из памяти процессов и инструменты управления и мониторинга, например Atera , AnyDesk и SplashTop .

Расследование затронуло организации в различных секторах, включая правовую сферу, профессиональные услуги, технологии и государственные структуры в Америке, ЕМЕА (Europe, the Middle East and Africa) и Азиатско-Тихоокеанском регионе. Эксперты отслеживают действия четырех ранее не зарегистрированных группировок.

Компания Mandiant также опубликовала рекомендации по устранению уязвимости и предотвращению подобных инцидентов в будущем. Эксперты настоятельно рекомендуют клиентам немедленно устанавливать исправления и проводить анализ угроз в рамках реагирования на инциденты.

Обнаружение уязвимости CVE-2023-4966 в системах Citrix стало поводом для глубокого исследования эксплуатации и последующих действий злоумышленников. Информация от Mandiant позволяет понять сложность проблемы и необходимость комплексного подхода к решению вопроса безопасности.
 
Источник новости
www.securitylab.ru

Похожие темы