关于Citrix NetScaler ADC 和网关设备受到攻击的动态情报

一、基本内容

据美国网络安全和基础设施安全局CISA的公告,最新披露的Citrix NetScaler应用交付控制器(ADC)和网关设备中存在关键的安全漏洞,已被攻击者滥用。这些漏洞使得攻击者能够在易受攻击的系统上投放Web shell,进而在受害者的活动目录(AD)上进行发现、收集和窃取AD数据。虽然攻击者试图横向移动到域控制器,但设备的网络分段控制阻止了这一行为。CISA建议相关组织尽快修复漏洞,并加强网络安全防护措施。

二、相关发声情况

根据CISA的分析,Web shell的使用导致了对NetScaler配置文件、解密密钥和AD信息的收集。这些数据被传输为PNG图像文件(命名为"medialogininit.png")。尽管攻击者试图在网络上横向移动并运行命令来确定可访问目标并验证出站网络连接,但由于强大的网络分段措施,这些尝试都没有成功。CISA补充说,攻击者还试图删除他们的工件以掩盖踪迹。

这些漏洞在NetScaler ADC和NetScaler Gateway等网关产品中存在,因此成为威胁参与者寻求获取目标网络特权访问权限的热门目标。为了防范潜在的威胁,用户应尽快采取行动,并应用最新的修复程序。CISA并未透露受影响的组织名称,也未透露威胁行为者或背后国家的身份。

三、分析研判

从案件分析中可以得出此次漏洞为CVE-2023-3519(CVSS 评分:9.8),这是一个代码注入漏洞。代码注入漏洞可能导致未经身份验证的远程代码执行,这可能带来严重的安全风险。攻击者可以利用这种漏洞将恶意代码注入到应用程序中,从而执行任意操作,包括访问敏感数据、控制服务器、获取系统权限等。代码注入漏洞通常出现在没有充分验证和过滤用户输入的地方。攻击者可以通过在输入中插入恶意代码来利用这些漏洞,如果应用程序没有正确处理和过滤这些输入,就会执行恶意代码。

四、应对策略

为了防止代码注入漏洞,网络安全工程师可以采取以下方式:

1.输入验证和过滤:对于从用户输入获取的数据,始终进行验证和过滤。确保只接受预期格式的输入,并拒绝非法或可疑的内容。

2.参数化查询:使用参数化查询或预编译语句来执行数据库查询,而不是将用户输入直接拼接到查询语句中。这可以防止SQL注入攻击。

3.输出编码:在将数据输出到网页或其他媒体时,使用适当的编码方式来确保恶意脚本无法执行。例如,在HTML输出中使用HTML实体编码,防止XSS攻击。

4.最小权限原则:确保应用程序在运行时具有最小的权限。这样,即使攻击者成功执行了远程代码,也能限制其对系统的访问和操作。

5.定期进行安全审计和漏洞扫描也是很重要的,以及及时应用补丁和更新来修复已知的漏洞。

相关推荐
加密狗复制模拟17 分钟前
坚石ET ARM加密狗复制模拟介绍
安全·软件工程·个人开发
galaxylove1 小时前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu2 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司2 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
小能喵3 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
用户Taobaoapi20145 小时前
Taobao agent USA丨美国淘宝代购1688代采集运系统搭建指南
数据挖掘·php
蓝色记忆5 小时前
Classmap 如何兼容旧代码
php
蓝色记忆8 小时前
Composer PSR-4 自动加载机制的完整流程
php
浩浩测试一下9 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
only-lucky11 小时前
C语言socket编程-补充
服务器·c语言·php