Администраторов предупредили об исправлении устройств NetScaler

Администраторам Citrix NetScaler настоятельно рекомендуется установить патч, выпущенный на этой неделе, чтобы закрыть критическую дыру для внедрения кода в продуктах Application Delivery Controller (ADC) и Gateway компании.

Предупреждение исходит от Агентства кибербезопасности и безопасности инфраструктуры США (CISA), которое сообщает, что злоумышленники использовали уязвимость нулевого дня (CVE-2023-3519), чтобы сбросить универсальную веб-оболочку в непроизводственной среде неназванной критической инфраструктурной организации.

Веб-оболочка позволила хакерам искать и эксфильтровать данные Active Directory (AD). По данным CISA, субъекты попытались перейти к контроллеру домена в горизонтальном направлении, но элементы управления сегментацией сети для устройства заблокировали перемещение.

Затронутые продукты

• NetScaler ADC и NetScaler Gateway 13.1 до 13.1–49.13.
• NetScaler ADC и NetScaler Gateway 13.0 до 13.0–91.13.
• NetScaler ADC и NetScaler Gateway версии 12.1, срок службы которых истек.
• NetScaler ADC 13.1-FIPS до 13.1-37.159
• NetScaler ADC 12.1-FIPS до 12.1-65.36
• NetScaler ADC 12.1-NDcPP до версии 12.65.36.

Затронутое устройство должно быть настроено как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуальный сервер проверки подлинности, авторизации и аудита (AAA) для эксплуатации.

В отчете также содержится подробная информация о методах, используемых злоумышленником.

Через веб-шелл злоумышленник просматривал файлы конфигурации NetScaler. /flash/nsconfig/keys/updated/* и /nsconfig/ns.conf. Эти файлы конфигурации содержат зашифрованный пароль, который можно расшифровать с помощью ключа, хранящегося на устройстве ADC. Они также просмотрели ключи расшифровки NetScaler (для расшифровки учетных данных AD из файла конфигурации) и использовали расшифрованные учетные данные AD для запроса AD через ldapsearch. Обнаруженные данные были затем зашифрованы и сжаты в zip-файл для эксфильтрации.

Другие действия хакера по обнаружению не увенчались успехом из-за того, что критически важная инфраструктурная организация развернула свое устройство NetScaler ADC в сегментированной среде.

В отчете говорится, что попытки акторов бокового перемещения после эксплуатации также были заблокированы элементами управления сегментацией сети. Актеры имплантировали жертве вторую веб-оболочку, которую позже удалили. Вероятно, это была оболочка PHP с возможностью проксирования, теоретизируется в отчете. Субъекты, вероятно, использовали это, чтобы попытаться проксировать SMB-трафик на контроллер домена; в отчете отмечается, что организация-жертва наблюдала SMB-соединения, в которых субъекты пытались использовать ранее расшифрованные учетные данные AD для аутентификации на контроллере домена из NetScaler ADC через виртуальную машину. Ограничения брандмауэра и учетных записей — только определенные внутренние учетные записи могут пройти аутентификацию на контроллере домена — заблокировали эту активность.

Помимо установки исправления, администраторы также должны искать признаки использования уязвимости. Если компрометация обнаружена, ИТ-специалисты должны поместить в карантин или отключить потенциально уязвимые хосты, повторно создать образ скомпрометированных хостов и предоставить новые учетные данные для учетной записи.