【原】近2,000 个 Citrix NetScaler 实例因严重漏洞遭到黑客攻击

主要要点

• NetScaler中的一组漏洞于7月18日被披露，其中一个漏洞允许远程执行代码。在此披露之前，一些安全组织发现这些漏洞在野外的利用有限。
• Fox-IT（与荷兰漏洞披露研究所合作）已扫描这些Webshell以识别受感染的系统。DIVD已发送负责任的披露通知。
• 在此利用活动期间，31127个NetScaler容易受到CVE-2023-3519 的攻击。
• 截至8月14日，1828个NetScaler仍然存在后门。
• 在后门NetScaler中，有1248个已修补CVE-2023-3519。

给NetScaler 管理员的建议

• 经过修补的NetScaler仍然可能包含后门。建议对NetScaler执行妥协指标检查，无论补丁何时应用。
• Fox-IT提供了一个 Python 脚本，该脚本利用Dissect对 NetScalers 的取证图像执行分类。
• Mandiant提供了一个bash脚本来检查实时系统上的妥协指标。请注意，如果此脚本运行两次，则会产生误报结果，因为每当运行该脚本时，某些搜索都会写入NetScaler日志中。
• 如果发现泄露痕迹，请保护取证数据；强烈建议在执行任何补救或调查操作之前对设备的磁盘和内存进行取证副本。如果 Citrix 设备安装在虚拟机管理程序上，则可以制作快照以供后续调查。

• 如果发现Webshell，请调查它是否已被用于执行活动。Webshell的使用情况应在NetScaler访问日志中可见。如果有迹象表明Webshell已被用于执行未经授权的活动，则必须执行更大规模的调查，以确定对手是否已成功采取措施从NetScaler横向移动到基础设施中的另一个系统。

作为大规模攻击的一部分，近2,000个Citrix NetScaler实例已受到后门攻击，将最近披露的关键安全漏洞武器化。

NCC Group在周二发布的公告中表示：“对手似乎以自动化方式利用了CVE-2023-3519，在易受攻击的NetScaler上放置Web shell以获得持久访问权限。”

“即使NetScaler已打补丁和/或重新启动，攻击者也可以使用此Webshell执行任意命令。”

CVE-2023-3519是指影响NetScaler ADC和网关服务器的严重代码注入漏洞，可能导致未经身份验证的远程代码执行。Citrix上个月对此进行了修补。

一周前，Shadowserver基金会表示，它在网上发现了近 7,000 个易受攻击、未打补丁的 NetScaler ADC和网关实例，并且该缺陷被滥用，在易受攻击的服务器上投放 PHP Web shell以进行远程访问。

NCC Group的后续分析显示，1,828 台NetScaler服务器仍然存在后门，其中大约 1,248 台服务器已经针对该漏洞进行了修补。

该公司表示：“这表明，虽然大多数管理员都意识到了该漏洞，并已将其NetScaler 修补到不易受攻击的版本，但他们尚未（正确）检查是否有成功利用的迹象。”

总共在1,952 个不同的NetScaler设备中发现了多达2,491个Web shell。大多数受感染实例位于德国、法国、瑞士、日本、意大利、西班牙、荷兰、爱尔兰、瑞典和奥地利。

撇开欧洲的焦点不谈，另一个值得注意的方面是，虽然加拿大、俄罗斯和美国上个月末有数千台易受攻击的NetScaler服务器，但在其中任何一台服务器上都没有发现Web shell。

截至2023 年7月21日，大规模利用活动估计已损害了易受CVE-2023-3519 影响的 31,127个NetScaler实例中的6.3%。

此次披露的同时，Mandiant发布了一款开源工具，帮助组织扫描其Citrix设备，以查找与CVE-2023-3519相关的利用后活动的证据。

>>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 回看等级保护：重要政策规范性文件43号文（上） 网络安全等级保护实施指南培训PPT 网络安全等级保护安全物理环境测评培训PPT 网络安全等级保护：等级保护测评过程要求PPT 网络安全等级保护：安全管理中心测评PPT 网络安全等级保护：安全管理制度测评PPT 网络安全等级保护：定级指南与定级工作PPT 网络安全等级保护：云计算安全扩展测评PPT 网络安全等级保护：工业控制安全扩展测评PPT 网络安全等级保护：移动互联安全扩展测评PPT 网络安全等级保护：第三级网络安全设计技术要求整理汇总 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：什么是等级保护？ 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 工业控制系统安全：DCS风险与脆弱性检测要求思维导图 去年针对工业组织的勒索软件攻击增加了一倍 工业安全远程访问渐增引发企业担心 工业控制系统安全：工控系统信息安全分级规范（思维导图） 有效保卫工业控制系统的七个步骤 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 Mozilla通过发布Firefox 111修补高危漏洞 Meta 开发新的杀伤链理论 最佳CISO如何提高运营弹性 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 低代码/无代码开发对安全性和生产力的影响 源代码泄漏是新的威胁软件供应商应该关心的吗？ 在2023年实施的9项数据安全策略 乌克兰是俄美网络战的“试验场” 网络安全知识：什么是日志留存？ 公安部公布十大典型案例