Mandiant раскрыла последствия уязвимости Citrix NetScaler ADC/Gateway

Специалисты ИБ-компании Mandiant обнаружили активную эксплуатацию уязвимости в системах NetScaler ADC и Gateway компании Citrix. Проблема CVE-2023-4966 (CVSS: 9.4) была зафиксирована еще в конце августа 2023 года, но обнародована только 10 октября.

Уязвимость позволяла злоумышленникам перехватывать управление легитимными пользовательскими сессиями, обходя системы аутентификации, включая пароли и двухфакторную аутентификацию (two-factor authentication, 2FA). Эксплуатация уязвимости продолжалась даже после публикации исправления от Citrix.

Аналитики Mandiant сообщают о случаях успешной эксплуатации, в результате которой злоумышленники могли собирать конфиденциальную информацию, внедрять вредоносные программы и перемещаться по сети с использованием протокола RDP. Как было установлено, уязвимая конечная точка была обнаружена с помощью анализа прошивок и создания HTTP-запросов с расширенным заголовком Host, что приводило к раскрытию содержимого системной памяти устройства.

Отследить попытки эксплуатации уязвимости оказалось непросто, поскольку серверные запросы к ней не логировались. Эксперты Mandiant рекомендуют использовать WAF (Web Application Firewall) или схожие сетевые устройства для регистрации HTTP/S запросов в целях идентификации попыток эксплуатации.

Для выявления несанкционированного доступа предлагается анализировать логи WAF, следить за подозрительными паттернами входа в систему NetScaler, проверять ключи Windows Registry и анализировать файлы дампа памяти.

После успешного взлома наблюдались различные действия пост-эксплуатации: разведка, сбор учетных данных, использование различных инструментов для доступа, в том числе Mimikatz для сбора информации из памяти процессов и инструменты управления и мониторинга, например Atera, AnyDesk и SplashTop.

Расследование затронуло организации в различных секторах, включая правовую сферу, профессиональные услуги, технологии и государственные структуры в Америке, ЕМЕА (Europe, the Middle East and Africa) и Азиатско-Тихоокеанском регионе. Эксперты отслеживают действия четырех ранее не зарегистрированных группировок.

Компания Mandiant также опубликовала рекомендации по устранению уязвимости и предотвращению подобных инцидентов в будущем. Эксперты настоятельно рекомендуют клиентам немедленно устанавливать исправления и проводить анализ угроз в рамках реагирования на инциденты.

Обнаружение уязвимости CVE-2023-4966 в системах Citrix стало поводом для глубокого исследования эксплуатации и последующих действий злоумышленников. Информация от Mandiant позволяет понять сложность проблемы и необходимость комплексного подхода к решению вопроса безопасности.