根据研究人员的最新调查,全球仍有超过1万台存在CitrixBleed漏洞(CVE-2023-4966)的服务器暴露在互联网上,成为勒索软件组织的热门攻击目标,同时也意味着类似工行、波音的重大勒索软件攻击事件将持续上演。
波音、工行和DP World倒在同一个漏洞上
威胁研究员Kevin Beaumont一直在追踪LockBit勒索软件组织针对中国工商银行(ICBC)、DP World、Allen&Overy和波音等多家大公司的攻击,发现这些事件有一个共同点——被攻击的企业都有未修复Citrix Bleed漏洞Citrix服务器在线暴露,而LockBit勒索软件组织正在积极利用该漏洞展开全球攻击。
《华尔街日报》进一步证实了这一点,该报获得了美国财政部发给金融服务提供商的一封电子邮件,其中提到LockBit对工行的网络攻击是通过利用CitrixBleed漏洞实现的。
如果LockBit利用该漏洞成功攻击了工行美国子公司,那么很可能也用同样的方法攻击了存在相同漏洞的波音公司和迪拜港口世界公司(DP World)。
研究人员指出,LockBit是最大的RaaS(勒索软件即服务)运营者,因此,这些攻击很可能是由LockBit附属机构发起的,而且这些附属机构对如何发动网络攻击拥有完全的自由裁量权。
研究人员指出,勒索软件附属机构专注于某一特定行业或初始访问方法的情况并不少见。
例如,GandCrab/REvil附属机构会专门利用MSP软件来加密公司。因此,LockBit附属机构专注于利用Citrix Bleed漏洞来大规模入侵网络并不让人感到意外。
威胁全球的巨大攻击面:超过1万台服务器受影响
根据日本威胁研究人员Yutaka Sejiyama的调查结果,截至本周三,超过10400台在线暴露的Citrix服务器(下图)容易受到Citrix Bleed漏洞利用攻击:
大多数服务器位于美国(3133台),其次是德国1228台、中国733台、英国558台、澳大利亚381台、加拿大309台、法国301台、意大利277台、西班牙252台、西班牙244台。荷兰215家,瑞士215家。
Sejiyama通过shodan扫描发现许多国家的大型关键基础设施组织中也存在易受攻击的服务器,而这些服务器在Citrix Bleed漏洞公开披露整整一个月仍然没有修补。
关于Citrix Bleed漏洞
Citrix Bleed于10月10日被披露为严重漏洞,影响Citrix NetScaler ADC和网关,攻击者可非法访问敏感设备信息。
Mandiant的报告称,攻击者于8月下旬开始利用CitrixBleed漏洞,当时该漏洞仍属于零日漏洞。黑客利用该漏洞劫持已经通过身份验证的会话从而绕过MFA保护。
攻击者使用特制的HTTP GET请求强制设备返回系统内存内容,其中包括MFA身份验证后有效的Netscaler AAA会话cookie。窃取这些身份验证cookie的黑客无需再次执行MFA验证即可访问设备。
10月25日,外部攻击面管理公司AssetNote的研究人员发布了Citrix Bleed的概念验证利用(PoC),演示了如何通过会话令牌盗窃来劫持NetScaler帐户。
PoC的发布加快了黑客对该漏洞的利用。Citrix随即向管理员发出第二次警告,敦促他们抓紧修复漏洞,因为利用CitrixBleed漏洞的攻击复杂性低,且无需用户交互。不需要与任何用户进行交互。
Mandiant的研究人员指出,设备上缺乏日志记录使得调查Citrix Bleed漏洞利用非常具有挑战性,需要Web应用程序防火墙(WAF)和其他网络流量监控设备来记录流量并确定设备是否被利用。
即使在利用后,攻击者仍然保持隐秘,采用离地技术和常见的管理工具(如net.exe和netscan.exe)来融入日常操作。
Mandiant建议通过以下方法识别漏洞利用尝试和会话劫持:
- WAF请求分析:WAF工具可以记录对易受攻击端点的请求。
- 登录模式监控:客户端和源IP地址不匹配以及写入ns.log文件中的同一IP地址的多个会话是潜在未经授权访问的迹象。
- Windows注册表关联:将Citrix VDA系统上的Windows注册表条目与ns.log数据关联起来,可以追踪攻击者的来源。
- 内存转储检查:可以分析NSPPE进程内存核心转储文件中包含重复字符的异常长字符串,这可能表明存在利用尝试。
