توجه: اصلاحات بیشتر با Citrix-Netscaler ضروری است | IT متولد می شود

[English] خلاصه کوتاه دیگر برای سرپرستان که از Citrix ADC استفاده می کنند (Controller Delivery Application ، قبلاً Netscaler). CVE-2019-19781 مدت طولانی است که مورد سوء استفاده قرار می گیرد. علاوه بر این ، سایر آسیب پذیری ها و درپشتی ها نیز شناخته شده است. از آنجا که هیچ به روزرسانی سیستم عامل (هفته آینده) وجود نخواهد داشت ، افراد آسیب دیده باید دوباره به آنجا بروند و برای محافظت از آسیب پذیری ها اقدام کنند.

BSI درباره آسیب پذیری CVE-2019-19781 هشدار می دهد

چندین بار در مورد آسیب پذیری CVE-2019-19781 در اینجا در وبلاگ هشدار دادم (به مقاله های مرتبط با من در انتهای مقاله مراجعه کنید). مقاله آسیب پذیری در محصولات Citrix Products Threatening Enterprise Networks حتی شامل یک مراجعه به اسکنر برای تشخیص آسیب پذیری است. باید فکر کنید که سرانجام هر مدیر عمل کرده است.

CVE-2019-19781: BSI گزارش هایی دریافت کرد مبنی بر این که سیستم [# #Citrix با موفقیت مورد حمله قرار گرفتند. باز هم ، ما کاربران را ترغیب می کنیم بلافاصله راه حل برای Citrix را پیاده سازی کنند! #CitrixADC #CitrixGateway #Netscaler اطلاعات بیشتر در اینجا: https://t.co/kHwPolBAgDociation19659007amez—BSI(@BSI_Bund)9419459016] ژانویه 1620 ] ظاهراً اینگونه نیست زیرا از BSI خواسته می شود كه مطابق توئیت فوق ، اخطار دیگری صادر كند. دفتر امنیت اطلاعات فدرال (BSI) گزارش های زیادی مبنی بر حمله سیستم های Citrix با موفقیت دریافت کرده است. بار دیگر ، BSI کاربران را ترغیب می کند تا بلافاصله راه حل ارائه شده توسط سازنده Citrix را پیاده سازی کرده و منتظر بروزرسانی های امنیتی نباشند. کاربرانی که هنوز راه حلی را اجرا نکرده اند ، همچنین باید سیستم های Citrix خود را که مستقیماً به اینترنت متصل است ، بررسی کنند تا یک سازش احتمالی را داشته باشند.

نکته: خواننده وبلاگ ، کریستین دممر در این نظر اظهار داشت که سیتریکس اقدامات متقابل را برای برطرف کردن آسیب پذیری توصیه می کند ممکن است با برخی نسخه های سیستم عامل کار نکند. خطایی روی داد و کریستین راه حل را توصیف کرد.

آسیب پذیری جدیدی کشف شد

خواننده وبلاگ Puchte در این نظر اشاره می کند که یک آسیب پذیری اضافی در 2 هدر HTTP در Citrix NetScaler پیدا شده است. از زمان انتشار اولین اثبات سوء استفاده از مفهوم (PoC) ، حمله به Citrix ADC مشخص شده است.

(Citrix ADC Honeypot در هر ساعت ، منبع: SANS) را شناسایی می کند [منبع: SANS]

نمودار فوق افزایش تعداد حملات حمله ثبت شده توسط Honypot را نشان می دهد. در طول تجزیه و تحلیل ، مشاهده شد که دو بهره بردار شناخته شده پرونده ها را در فهرستهای زیر قرار می دهند:

/ var / tmp / netscaler / portal / templates
/ netscaler / portal / Templates

اما احتمالاً یک bot وجود دارد که در تلاش برای حذف پرونده های XML است. موسسه SANS جزئیات را در اینجا شرح می دهد. به طور خلاصه: اگر Citrix ADC / Netscaler را سرپرستی کرده اید و راهکارهای قبلی را که توسط Citrix پیشنهاد شده است دنبال نکردید ، به سرعت از آن مراقبت خواهید کرد. علاوه بر این ، کلیه سرپرستان Citrix ADC / Netscaler باید بررسی کنند که دیگر خطر ندارند و پرونده های شرح داده شده در اینجا را می توان یافت. برای تشخیص سیستم های آسیب پذیر ، دستور زیر را در پوسته Citrix ADC / Netscaler وارد کنید:

curl https: //host/vpn/../vpns/cfg/smb.conf --path-as-is

کد پاسخ 200 به معنای حساس بودن Citrix ADC / Netscaler است. پاسخ 403 نشان می دهد که یک راه حل برای کاهش خطا وجود دارد. پاسخ 404 احتمالاً به این معنی است که آن یک Citrix ADC یا یک سیستم حساس دیگر نیست. اما یادداشت ها را در بخش زیر بخوانید

FireEye پشتیبان پیدا می کند

در شبی که من صدای جیر جیر را از طریق [194590012] از طریق کریستوفر گلیر (رئیس امنیت معمار در شرکت امنیتی FireEye) یافتم.

ما با یک آسیب پذیری Citrix Netscaler یک تحول غیر منتظره را کشف کردیم. یک "شوالیه سفید" به ظاهر که پشتیبان خود را برای اجرای بدافزارهای اضافی در حالی که دیگر جنایتکاران را متوقف کرده است ، ترک کرده است.
https://t.co/2kgcMGSosT

– کریستوفر گلیر (cglyer) 17 ژانویه 2020

آیا 404 بهره برداری یافت نشد کد گزارش شده در آزمایش فوق؟ شاید Citrix ADC / Netscaler قبلاً توسط یک ربات مورد بازدید قرار گرفته باشد. پس از آنکه کارشناسان امنیتی FireEye ده ها مورد از حمله موفقیت آمیز ADC Citrix را تجزیه و تحلیل کردند که امنیت Citrix برای کاهش CVE-2019-19781 را اجرا نکرد ، چندین گروه بهره برداری متوجه شدند. "مهاجم" از خط خارج شد زیرا او از یک اتهام نامرئی در حمله استفاده می کند. برای این منظور ، او خانواده کدهای NOTROBIN را توسعه داد.

یک مهاجمان احتمالاً اینترنت را برای موارد حساس Citrix ADC / Netscaler اسکن کرد. به محض دسترسی به یک دستگاه حساس NetScaler ، این بازیگر بدافزار شناخته شده را حذف می کند و از NOTROBIN برای مسدود کردن حملات بعدی حمله استفاده می کند!

در ابتدا ممکن است فکر کنید: اوه ، هکر سفید که خوب عمل می کند. اما همه چیز آنطور که به نظر می رسد نیست ، زیرا مبلغ NOTROBIN یک صندلی در پشتی ایجاد می کند. هرکسی که رمز عبور مخفی را می داند ، می تواند به Citrix ADC / Netscaler دسترسی پیدا کند. FireEye معتقد است که این بازیگر می تواند برای فعالیت های بعدی به سکوت به دستگاه های Citrix ADC / Netscaler دسترسی پیدا کند. اطلاعات دقیق در مورد حمله و اطلاعاتی در مورد چگونگی تعیین وجود پشتی در دسترس را می توان در این پست وبلاگ FireEye یافت.

مقالات مرتبط:
آسیب پذیری در محصولات Citrix شبکه های شرکت های بزرگ را تهدید می کند
بهره برداری برای آسیب پذیری Citrix ADC / Netscaler CVE-2019-19781