Mandiant发布扫描器来识别被攻陷的NetScaler ADC和Gateway

Mandiant的IoC扫描器将帮助企业收集与受影响的Citrix NetScaler产品相关的威胁指标。
Mandiant发布扫描器来识别被攻陷的NetScaler ADC和Gateway

在数千台仍未打补丁并暴露在网络上的Citrix网络产品存在一个关键漏洞的情况下,Mandiant发布了一个工具,来帮助企业防御者识别那些已经被攻陷的产品。

这个IoC扫描器是为Citrix ADC和Citrix Gateway 13.1版本、Citrix ADC和Citrix Gateway 13.0版本、Citrix ADC和Citrix Gateway 12.1版本、Citrix ADC和Citrix Gateway 12.0版本而设计的。

Citrix在7月18日发布了针对其NetScaler应用交付控制器和网关产品中一个零日关键漏洞(CVE-2023-3519)的补丁,并建议使用受影响产品的组织立即应用它。这个漏洞可以被利用来允许未经认证的远程代码执行。已经有几个威胁组织在积极利用这个缺陷,通过在企业网络中植入Web shell,并进行了数十次利用。

研究人员说,大约有7000个实例仍然暴露在网络上。其中,大约有460个实例有Web shell植入,很可能是由于被攻陷。

Mandiant的工具可以在GitHub上获取,它可以识别已知恶意软件、Shell历史中的后期利用活动、意外的crontab条目和进程、已知的恶意术语和NetScaler目录的意外修改等方面的文件系统路径。这个独立的Bash脚本可以直接在一个Citrix ADC设备上运行,来扫描文件、进程和端口是否有已知的指示器。(这个工具必须以root身份在设备上以实时模式运行。)它也可以检查一个挂载的取证镜像,以便在调查中使用,Mandiant说。

Mandiant说,这个IoC扫描器会尽最大努力来识别被攻陷的产品,但是它可能无法找出所有被攻陷的设备或判断设备是否容易被攻击。“这个工具不能保证找到所有的证据,或者找到所有与CVE 2023-3519相关的证据。”根据该公司所说。

推荐阅读:

新的 HTTP 请求走私攻击针对网络浏览器

黑灰产资产信息搜集合法性

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20