Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã đưa ra một lời khuyên vào hôm thứ Năm cảnh báo rằng lỗ hổng bảo mật nghiêm trọng mới được tiết lộ trong Bộ điều khiển phân phối ứng dụng Citrix NetScaler (ADC) và các thiết bị Cổng đang bị lạm dụng để thả web shell vào các hệ thống dễ bị tấn công.
Cơ quan này cho biết: “Vào tháng 6 năm 2023, các tác nhân đe dọa đã khai thác lỗ hổng này dưới dạng zero-day để thả vỏ web vào thiết bị NetScaler ADC, môi trường phi sản xuất của một tổ chức cơ sở hạ tầng quan trọng”.
“Web shell cho phép các tác nhân thực hiện khám phá trên thư mục hoạt động (AD) của nạn nhân, đồng thời thu thập và lọc dữ liệu AD. Các tác nhân đã cố gắng di chuyển ngang sang bộ điều khiển miền nhưng phân đoạn mạng kiểm soát chuyển động của thiết bị đã bị chặn.”
Thiếu sót được đề cập là CVE-2023-3519 (điểm CVSS: 9,8), một lỗi chèn mã có thể dẫn đến việc thực thi mã từ xa không được xác thực. Citrix, vào đầu tuần này, đã phát hành các bản vá cho vấn đề này và cảnh báo về việc khai thác tích cực trong tự nhiên.
Khai thác thành công yêu cầu thiết bị phải được định cấu hình làm Cổng (máy chủ ảo VPN, Proxy ICA, CVPN, Proxy RDP) hoặc máy chủ ảo xác thực, ủy quyền và kiểm tra (AAA).
CISA không tiết lộ tên của tổ chức bị ảnh hưởng bởi vụ việc. Tác nhân đe dọa hoặc quốc gia bị cáo buộc đứng sau nó hiện chưa được biết.
Trong sự cố được CISA phân tích, web shell được cho là đã cho phép thu thập các tệp cấu hình NetScaler, khóa giải mã NetScaler và thông tin AD, sau đó dữ liệu được truyền dưới dạng tệp hình ảnh PNG (“medialogininit.png”).
Các nỗ lực tiếp theo của kẻ thù để di chuyển ngang qua mạng cũng như chạy các lệnh để xác định các mục tiêu có thể truy cập và xác minh kết nối mạng bên ngoài đã bị cản trở do thực tiễn phân đoạn mạng mạnh mẽ, cơ quan lưu ý, đồng thời thêm rằng các tác nhân cũng đã cố gắng xóa các tạo tác của chúng để che dấu vết.
Các lỗ hổng trong các sản phẩm cổng như NetScaler ADC và NetScaler Gateway đã trở thành mục tiêu phổ biến cho các tác nhân đe dọa muốn có quyền truy cập đặc quyền vào các mạng được nhắm mục tiêu. Điều này buộc người dùng phải nhanh chóng áp dụng các bản sửa lỗi mới nhất để bảo vệ khỏi các mối đe dọa tiềm ẩn.
Trả lời