Bleed 黑客正在应用 Citrix 破绽攻打世界政府网络！

Bleeping Computer 网站披露，黑客正在应用 "Citrix Bleed "破绽（被追踪为 CVE-2023-4966）攻打美洲、欧洲、非洲和亚太地域的政府机构、技术和法律组织。

Mandiant 钻研人员示意，自 2023 年 8 月下旬以来，有四项网络攻打优惠继续针对易受攻打的 Citrix NetScaler ADC 和 Gateway 设施。

Citrix Bleed 破绽

2023 年 10 月 10 日，安保钻研人员发现并披露 Citrix Bleed CVE-2023-4966 破绽。该破绽重要影响 Citrix NetScaler ADC 和 NetScaler Gateway，准许未经授权的网络攻打者访问设施上的敏感信息。破绽修复程序发布一周后，Mandiant 又泄漏该破绽自 8 月下旬以来不时处于零日攻打形态，要挟攻打者应用该破绽劫持现有的已验证会话，绕过多起因包全。

据悉，要挟攻打者经常使用特制的 HTTP GET 恳求，迫使指标设施前往身份验证后和 MFA 审核后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容，在窃取这些验证 cookie 后，网络攻打者可以无需再次执行 MFA 验证，便可访问设施。

发现上述疑问后，Citrix 再次向治理员收回了警示，督促采取有效手腕，以包全自己的系统免遭网络攻打。

10 月 25 日，AssetNote 钻研人员发布了一个概念验证（PoC）破绽，演示了如何经过会话令牌偷盗劫持 NetScaler 帐户。

攻打优惠继续启动中

Mandiant 强调因为设施上不足日志记载，须要网络运行程序防火墙 (WAF) 和其它网络流量监控设施记载流量并确定设施能否被应用，除非企业网络在攻打前经常使用上述监控设施，否则就无法启动任何历史剖析，钻研人员只能启动实时观察，这就给考查 CVE-2023-3966 的应用状况带来了更多的应战。

更蹩脚的是，即使受益指标发现自身遭逢了攻打，网络攻打者仍能坚持隐蔽性，经常使用 net.exe 和 netscan.exe 等罕用治理工具作掩护，与日常操作融为一体。Mandiant 的钻研人员重要经过以下路径识别应用希图和会话劫持：

IP 不婚配示例（Mandiant）

应用恳求的照应示例（Mandiant）

攻打指标

一旦要挟攻打者完成应用 CVE-2023-4966 破绽，便可启动网络侦查，窃取账户凭据，并经过 RDP 启动横向移动，此阶段经常使用的工具如下：

值得留意的是，虽然上述许多工具在企业环境中十分经常出现，但它们组合部署，或许就是外部正在遭受网络攻打的标记，像 FREEFIRE 工具更能标明外部存在破绽。