Citrix NetScaler ADC 漏洞防护建议

关键要点

• Mandiant 咨询公司建议，修补Citrix NetScaler ADC 的漏洞不够，还需关闭所有活动会话，以防止漏洞代码在内存中存留。
• 漏洞 CVE-2023-4966 允许攻击者窃取已连接用户的令牌，从而获得对用户可访问资源的权限。
• Mandiant 此外也观察到，攻击者能够进行凭证收集、在受害者网络中进行横向移动，以及进行环境侦查。
• 对于对间谍活动敏感的组织，需更加关注这一问题。

Mandiant Consulting 提醒安全团队，仅仅应用用于修复 Citrix NetScaler ADC 和 Gateway的补丁是不够的——必须关闭所有活动会话，以确保漏洞代码不再内存中存在。

这个漏洞 — ，被
Citrix 评级为关键的 9.4 — 使攻击者能够窃取最近连接用户的令牌，从而获得用户在 Citrix 中可以访问的所有资源的访问权限。

一旦发生这种情况，，现已成为谷歌的一部分，观察到威胁行为者可以进行凭证收集，通过远程桌面协议 (RDP)
在受害者的网络中横向移动，并对受害者的环境进行侦查。Mandiant还表示，他们正在调查涵盖法律与专业服务、科技以及美洲、欧洲、中东与非洲及亚太和日本等地区的多种行业的入侵事件。

“绝大多数在早期打补丁并关闭会话的组织会一切正常，”Mandiant Consulting 首席技术官 Charles Carmakal表示。“然而，某些组织在该漏洞成为零日漏洞时就已受到攻击。虽然我们不知道这一零日入侵活动的动机，但我们正在评估是否与间谍意图有关。因此，对于那些通常对间谍活动感到担忧的组织，他们应该更加仔细地调查此事。”

在 10 月 31 日的一篇 中，Mandiant 列出了以下建议供安全团队考虑，以识别可能的 CVE-2023-4966利用和会话劫持：

建议 | 描述
—|—
调查来自 WAF 的请求 | 对受影响的 HTTP/S 端点发出的请求进行调查。
识别可疑的登录模式 | 基于 NetScaler 日志识别可疑的登录模式。
检查虚拟桌面代理 Windows 注册表项 | 确定可疑的虚拟桌面代理登记表键。
分析内存核心转储文件 | 进行内存核心转储文件的分析。

Critical Start 的网络威胁研究高级经理 Callie Guenther 也同意 Mandiant 的观点，称 Citrix发布补丁只是所需响应的开始。以下是 Guenther 对安全团队的一些建议：

• 增强监控与分析： 由于此漏洞的利用留下的法医证据有限，因此安全团队必须增强其监控能力。这包括分析来自 Web 应用防火墙 (WAF) 和其他可能记录针对受影响 Citrix 设备的 HTTP/S 请求的网络设备的日志。
• 历史日志审查： 安全团队应审查历史日志，以发现利用的证据。这包括检查源 IP 地址的差异，识别任何来自单一 IP 地址的多个用户会话，这可能暗示恶意访问。
• 对 Citrix 虚拟交付代理 (VDA) 进行注册表分析： 在运行 Citrix VDA 的 Windows 系统上，注册表含有可用于跟踪未经授权访问的信息。安全团队应将这些值与 ns.log 条目进行关联，以确认可疑活动。
• 内存核心转储分析： 对可能被攻陷的设备，内存核心转储分析至关重要。安全团队应寻找内存中的异常情况，例如异常长的字符串，这可能表明利用漏洞的尝试。
• **后利用检测：