近日,美國網絡安全與基礎設施安全局(CISA)警告稱,黑客正在利用一個新發現的零日漏洞,針對Citrix NetScaler應用程序交付控制器(ADC)和Citrix Gateway設備實施網絡攻擊。

Citrix公司曾于上周提醒其客戶,該漏洞(CVE-2023-3519,CVSS評分9.8)是一種代碼注入漏洞,存在于NetScaler應用交付控制器(ADC)和Gateway中,可導致未經身份驗證的遠程代碼執行,并正在野外被積極利用。該公司補充說,成功利用該漏洞的前提是設備配置為網關(VPN虛擬服務器、ICA代理、CVPN、RDP代理)或AAA虛擬服務器。

Citrix發布的公告中寫道:“已觀察到對未采取措施的設備的漏洞利用。強烈建議受影響的NetScaler ADC和NetScaler Gateway客戶盡快安裝相關的更新版本。”

美國CISA透露,有黑客正在利用該漏洞在易受攻擊的系統上部署Web shell。CISA前不久發布了一份名為“威脅行為者利用Citrix CVE-2023-3519植入Web shell”的網絡安全咨詢,警告組織機構注意此事件。據了解,2023年6月,威脅行為者利用該零日漏洞在一家關鍵基礎設施組織的NetScaler ADC設備上植入了Web shell。該Web shell使威脅行動者能夠發現受害者的活動目錄(AD)并收集外泄AD數據。威脅行為者試圖橫向移動到域控制器,但被網絡分割所阻止。

根據Shadowserver Foundation研究人員的報告,目前至少有15000臺Citrix服務器暴露在CVE-2023-3519攻擊的風險之下。其中大部分服務器位于美國和德國。CISA建議,被感染的組織應采取以下措施:隔離或下線可能受到影響的主機;重建受損主機;設置新帳戶憑據;收集及審查正在運行的進程/服務、異常身份驗證和最近的網絡連接。

citrix 黑客 網絡安全 0day漏洞 漏洞 cisa
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接