Mandiant 发布了一款扫描器,用于检查 Citrix NetScaler 应用程序交付控制器 (ADC) 或 NetScaler Gateway 设备是否在利用 CVE-2023-3519 漏洞的广泛攻击中受到损害。
关键的 CVE-2023-3519 Citrix 漏洞于 2023 年 7 月中旬作为零日漏洞被发现,黑客积极利用该漏洞远程执行代码,而无需在易受攻击的设备上进行身份验证。
Citrix 进行安全更新以解决该问题一周后, Shadowserver 报告 称仍有 15,000 台暴露在互联网上的设备尚未应用补丁。
然而,即使对于安装了安全更新的组织来说,被攻击的风险仍然存在,因为该补丁不会删除攻击者在攻击后阶段植入的恶意软件、后门和 Webshell。
扫描仪检查是否有被黑客入侵的设备
今天,Mandiant 发布了一款扫描仪,使组织能够检查其 Citrix ADC 和 Citrix Gateway 设备是否存在受损迹象和利用后活动。
Mandiant 的帖子中写道:“该工具旨在尽最大努力识别现有的妥协 。 ”
“它不会 100% 地识别出威胁,也不会告诉您设备是否容易受到攻击。”
Mandiant Ctrix IOC 扫描程序必须直接在设备或已安装的取证映像上运行,因为它将扫描本地文件系统和配置文件以查找是否存在各种 IOC。
完成后,扫描仪将显示一个摘要,详细说明是否遇到任何妥协迹象,如下所示。
来源:Mandiant
如果检测到设备受到损害,扫描仪将显示详细的报告,列出检测到的各种损害指标。
来源:Mandiant
下面列出了扫描器在 Citrix 设备上查找的一些 妥协指标:
- 文件系统路径可能包含可疑文件:
- /var/netscaler/登录/LogonPoint/uiareas
- /var/netscaler/登录/LogonPoint/uiareas/*/
- /netscaler/ns_gui/epa/scripts/*/
- /netscaler/ns_gui/vpns/主题/默认
- /var/vpn/主题/
- shell 历史记录中已知的攻击者或可疑命令:
- 哇阿米$
- 猫 /flash/nsconfig/keys
- LDAP搜索
- chmod +x /tmp
- openssl des3
- 平-c 1
- cp /bin/sh
- chmod +s /var
- 回声 <?php
- NetScaler 目录中内容与已知 IOC 匹配的文件:
- /var/vpn/主题/.theme.php
- /var/tmp/the
- /var/tmp/npc
- /var/tmp/conf/npc.conf
- /var/tmp/conf/multi_account.conf
- 具有可疑权限或所有权的文件,例如异常的 setuid 二进制文件。
- “nobody”用户的 Crontab 文件。
- 历史 cron 作业以“无人”身份运行。
- 可疑的正在运行的进程以“nobody”身份运行或从“/var/tmp”运行。
如果扫描仪显示出妥协的迹象,建议对受影响的设备和网络部分进行完整的取证检查,以评估违规的范围和程度,这需要一套不同的工具。
值得注意的是,负面结果不应被视为系统没有受到损害的保证,因为攻击者仍然有很多方法来隐藏他们的痕迹,并且在许多情况下,有足够的时间来这样做。
建议在随时运行易受攻击的固件版本的同时,在所有暴露于互联网的设备上运行扫描仪。
该扫描仪设计为与 Citrix ADC 和 Citrix Gateway 版本 12.0、12.1、13.0 和 13.1 配合使用。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的 CVE-2023-3519 扫描仪可检测被黑的 Citrix ADC、网关设备
