关于Citrix NetScaler ADC 和网关设备受到攻击的动态情报

一、基本内容

据美国网络安全和基础设施安全局CISA的公告，最新披露的Citrix NetScaler应用交付控制器（ADC）和网关设备中存在关键的安全漏洞，已被攻击者滥用。这些漏洞使得攻击者能够在易受攻击的系统上投放Web shell，进而在受害者的活动目录（AD）上进行发现、收集和窃取AD数据。虽然攻击者试图横向移动到域控制器，但设备的网络分段控制阻止了这一行为。CISA建议相关组织尽快修复漏洞，并加强网络安全防护措施。

二、相关发声情况

根据CISA的分析，Web shell的使用导致了对NetScaler配置文件、解密密钥和AD信息的收集。这些数据被传输为PNG图像文件（命名为"medialogininit.png"）。尽管攻击者试图在网络上横向移动并运行命令来确定可访问目标并验证出站网络连接，但由于强大的网络分段措施，这些尝试都没有成功。CISA补充说，攻击者还试图删除他们的工件以掩盖踪迹。

这些漏洞在NetScaler ADC和NetScaler Gateway等网关产品中存在，因此成为威胁参与者寻求获取目标网络特权访问权限的热门目标。为了防范潜在的威胁，用户应尽快采取行动，并应用最新的修复程序。CISA并未透露受影响的组织名称，也未透露威胁行为者或背后国家的身份。

三、分析研判

从案件分析中可以得出此次漏洞为CVE-2023-3519（CVSS 评分：9.8），这是一个代码注入漏洞。代码注入漏洞可能导致未经身份验证的远程代码执行，这可能带来严重的安全风险。攻击者可以利用这种漏洞将恶意代码注入到应用程序中，从而执行任意操作，包括访问敏感数据、控制服务器、获取系统权限等。代码注入漏洞通常出现在没有充分验证和过滤用户输入的地方。攻击者可以通过在输入中插入恶意代码来利用这些漏洞，如果应用程序没有正确处理和过滤这些输入，就会执行恶意代码。

四、应对策略

为了防止代码注入漏洞，网络安全工程师可以采取以下方式：

1.输入验证和过滤：对于从用户输入获取的数据，始终进行验证和过滤。确保只接受预期格式的输入，并拒绝非法或可疑的内容。

2.参数化查询：使用参数化查询或预编译语句来执行数据库查询，而不是将用户输入直接拼接到查询语句中。这可以防止SQL注入攻击。

3.输出编码：在将数据输出到网页或其他媒体时，使用适当的编码方式来确保恶意脚本无法执行。例如，在HTML输出中使用HTML实体编码，防止XSS攻击。

4.最小权限原则：确保应用程序在运行时具有最小的权限。这样，即使攻击者成功执行了远程代码，也能限制其对系统的访问和操作。

5.定期进行安全审计和漏洞扫描也是很重要的，以及及时应用补丁和更新来修复已知的漏洞。