根據(jù)研究人員的最新調(diào)查，全球仍有超過(guò)1萬(wàn)臺(tái)存在CitrixBleed漏洞(CVE-2023-4966)的服務(wù)器暴露在互聯(lián)網(wǎng)上，成為勒索軟件組織的熱門攻擊目標(biāo)，同時(shí)也意味著類似工行、波音的重大勒索軟件攻擊事件將持續(xù)上演。

波音、工行和DP World倒在同一個(gè)漏洞上

威脅研究員Kevin Beaumont一直在追蹤LockBit勒索軟件組織針對(duì)中國(guó)工商銀行(ICBC)、DP World、Allen&Overy和波音等多家大公司的攻擊，發(fā)現(xiàn)這些事件有一個(gè)共同點(diǎn)——被攻擊的企業(yè)都有未修復(fù)Citrix Bleed漏洞Citrix服務(wù)器在線暴露，而LockBit勒索軟件組織正在積極利用該漏洞展開(kāi)全球攻擊。

《華爾街日?qǐng)?bào)》進(jìn)一步證實(shí)了這一點(diǎn)，該報(bào)獲得了美國(guó)財(cái)政部發(fā)給金融服務(wù)提供商的一封電子郵件，其中提到LockBit對(duì)工行的網(wǎng)絡(luò)攻擊是通過(guò)利用CitrixBleed漏洞實(shí)現(xiàn)的。

如果LockBit利用該漏洞成功攻擊了工行美國(guó)子公司，那么很可能也用同樣的方法攻擊了存在相同漏洞的波音公司和迪拜港口世界公司（DP World）。

研究人員指出，LockBit是最大的RaaS（勒索軟件即服務(wù)）運(yùn)營(yíng)者，因此，這些攻擊很可能是由LockBit附屬機(jī)構(gòu)發(fā)起的，而且這些附屬機(jī)構(gòu)對(duì)如何發(fā)動(dòng)網(wǎng)絡(luò)攻擊擁有完全的自由裁量權(quán)。

研究人員指出，勒索軟件附屬機(jī)構(gòu)專注于某一特定行業(yè)或初始訪問(wèn)方法的情況并不少見(jiàn)。

例如，GandCrab/REvil附屬機(jī)構(gòu)會(huì)專門利用MSP軟件來(lái)加密公司。因此，LockBit附屬機(jī)構(gòu)專注于利用Citrix Bleed漏洞來(lái)大規(guī)模入侵網(wǎng)絡(luò)并不讓人感到意外。

威脅全球的巨大攻擊面：超過(guò)1萬(wàn)臺(tái)服務(wù)器受影響

根據(jù)日本威脅研究人員Yutaka Sejiyama的調(diào)查結(jié)果，截至本周三，超過(guò)10400臺(tái)在線暴露的Citrix服務(wù)器（下圖）容易受到Citrix Bleed漏洞利用攻擊：

大多數(shù)服務(wù)器位于美國(guó)（3133臺(tái)），其次是德國(guó)1228臺(tái)、中國(guó)733臺(tái)、英國(guó)558臺(tái)、澳大利亞381臺(tái)、加拿大309臺(tái)、法國(guó)301臺(tái)、意大利277臺(tái)、西班牙252臺(tái)、西班牙244臺(tái)。荷蘭215家，瑞士215家。

Sejiyama通過(guò)shodan掃描發(fā)現(xiàn)許多國(guó)家的大型關(guān)鍵基礎(chǔ)設(shè)施組織中也存在易受攻擊的服務(wù)器，而這些服務(wù)器在Citrix Bleed漏洞公開(kāi)披露整整一個(gè)月仍然沒(méi)有修補(bǔ)。

關(guān)于Citrix Bleed漏洞

Citrix Bleed于10月10日被披露為嚴(yán)重漏洞，影響Citrix NetScaler ADC和網(wǎng)關(guān)，攻擊者可非法訪問(wèn)敏感設(shè)備信息。

Mandiant的報(bào)告稱，攻擊者于8月下旬開(kāi)始利用CitrixBleed漏洞，當(dāng)時(shí)該漏洞仍屬于零日漏洞。黑客利用該漏洞劫持已經(jīng)通過(guò)身份驗(yàn)證的會(huì)話從而繞過(guò)MFA保護(hù)。

攻擊者使用特制的HTTP GET請(qǐng)求強(qiáng)制設(shè)備返回系統(tǒng)內(nèi)存內(nèi)容，其中包括MFA身份驗(yàn)證后有效的Netscaler AAA會(huì)話cookie。竊取這些身份驗(yàn)證cookie的黑客無(wú)需再次執(zhí)行MFA驗(yàn)證即可訪問(wèn)設(shè)備。

10月25日，外部攻擊面管理公司AssetNote的研究人員發(fā)布了Citrix Bleed的概念驗(yàn)證利用(PoC)，演示了如何通過(guò)會(huì)話令牌盜竊來(lái)劫持NetScaler帳戶。

PoC的發(fā)布加快了黑客對(duì)該漏洞的利用。Citrix隨即向管理員發(fā)出第二次警告，敦促他們抓緊修復(fù)漏洞，因?yàn)槔肅itrixBleed漏洞的攻擊復(fù)雜性低，且無(wú)需用戶交互。不需要與任何用戶進(jìn)行交互。

Mandiant的研究人員指出，設(shè)備上缺乏日志記錄使得調(diào)查Citrix Bleed漏洞利用非常具有挑戰(zhàn)性，需要Web應(yīng)用程序防火墻(WAF)和其他網(wǎng)絡(luò)流量監(jiān)控設(shè)備來(lái)記錄流量并確定設(shè)備是否被利用。

即使在利用后，攻擊者仍然保持隱秘，采用離地技術(shù)和常見(jiàn)的管理工具（如net.exe和netscan.exe）來(lái)融入日常操作。

Mandiant建議通過(guò)以下方法識(shí)別漏洞利用嘗試和會(huì)話劫持：

• WAF請(qǐng)求分析：WAF工具可以記錄對(duì)易受攻擊端點(diǎn)的請(qǐng)求。
• 登錄模式監(jiān)控：客戶端和源IP地址不匹配以及寫入ns.log文件中的同一IP地址的多個(gè)會(huì)話是潛在未經(jīng)授權(quán)訪問(wèn)的跡象。
• Windows注冊(cè)表關(guān)聯(lián)：將Citrix VDA系統(tǒng)上的Windows注冊(cè)表?xiàng)l目與ns.log數(shù)據(jù)關(guān)聯(lián)起來(lái)，可以追蹤攻擊者的來(lái)源。
• 內(nèi)存轉(zhuǎn)儲(chǔ)檢查：可以分析NSPPE進(jìn)程內(nèi)存核心轉(zhuǎn)儲(chǔ)文件中包含重復(fù)字符的異常長(zhǎng)字符串，這可能表明存在利用嘗試。