概述

近日，多家大型公司遭受了連環(huán)勒索攻擊，造成部分業(yè)務(wù)中斷，給全球金融、貨運和關(guān)鍵基礎(chǔ)設(shè)施運營帶來巨大威脅和損失。瑞數(shù)溪風(fēng)安全團隊第一時間對這些勒索攻擊事件進行了持續(xù)跟蹤和分析，初步分析如下：

疑似LockBit勒索軟件組織攻利用Citrix Netscaler Gateway/ADC產(chǎn)品的CVE-2023-4966漏洞發(fā)起攻擊，通過越界竊取cookie等敏感信息，從而繞過身份驗證，獲取系統(tǒng)權(quán)限，然后植入勒索病毒進行勒索攻擊。Citrix NetScaler Gateway和NetScaler ADC都是Citrix公司的產(chǎn)品，Citrix NetScaler Gateway是一套安全的遠(yuǎn)程接入解決方案，提供應(yīng)用級和數(shù)據(jù)級管控功能，以實現(xiàn)用戶從任何地點遠(yuǎn)程訪問應(yīng)用和數(shù)據(jù)，Citrix NetScaler ADC是一個應(yīng)用程序交付和安全平臺。該漏洞是一個高危的web安全漏洞，并且POC利用方式已經(jīng)公布，安全風(fēng)險相當(dāng)高。

風(fēng)險等級

等級：高危

評分：CVSS 9.4分

漏洞編號

CVE-2023-4966

影響范圍

NetScaler ADC and NetScaler Gateway 14.1 < 14.1-8.50

NetScaler ADC and NetScaler Gateway 13.1 < 13.1-49.15

NetScaler ADC and NetScaler Gateway 13.0 < 13.0-92.19

NetScaler ADC 13.1-FIPS < 13.1-37.164

NetScaler ADC 12.1-FIPS < 12.1-55.300

NetScaler ADC 12.1-NDcPP < 12.1-55.300

注：NetScaler ADC和NetScaler Gateway版本12.1也易受影響，但該版本現(xiàn)已停止支持

瑞數(shù)信息防御方案

Citrix CVE-2023-4966 漏洞利用防御

瑞數(shù)動態(tài)應(yīng)用防護系統(tǒng)

經(jīng)過測試驗證該漏洞無論利用工具對漏洞探測還是利用工具對漏洞利用，瑞數(shù)信息動態(tài)應(yīng)用保護系統(tǒng)具有防御0day攻擊以及防御自動化攻擊的能力，Web/App系統(tǒng)可納入瑞數(shù)信息動態(tài)應(yīng)用保護系統(tǒng)防護，可以防御針對該漏洞的批量自動化掃描和漏洞利用攻擊。

瑞數(shù)動態(tài)WAF

瑞數(shù)動態(tài)WAF內(nèi)置的智能威脅檢測引擎已經(jīng)在第一時間進行了防御特征更新，可以對該漏洞的掃描和利用進行精確的識別和攔截?？梢詫⒋嬖谠撀┒吹南到y(tǒng)納入瑞數(shù)動態(tài)WAF防御范圍內(nèi)并且及時更新防御策略。

勒索軟件攻擊防御

如果相應(yīng)的系統(tǒng)沒有部署瑞數(shù)動態(tài)防護系統(tǒng)進行保護，而Citrix CVE-2023-4966漏洞被利用對內(nèi)部系統(tǒng)部署勒索軟件時，可以部署瑞數(shù)數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)進行勒索軟件攻擊檢測和響應(yīng)恢復(fù)。

瑞數(shù)數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)（River Data Detection and Response）以數(shù)據(jù)安全底座為支撐，提供創(chuàng)新的在線數(shù)據(jù)檢查+離線智能深度檢測技術(shù)及智能快速恢復(fù)技術(shù)，通過動態(tài)隔離、安全存儲、變動追溯、數(shù)據(jù)沙箱和快速恢復(fù)構(gòu)筑的縱深防御體系，通過“事前數(shù)據(jù)風(fēng)險管理+事中智能威脅感知+事后快速應(yīng)急響應(yīng)”三道防線，有效對抗勒索病毒攻擊，協(xié)助企業(yè)在數(shù)分鐘內(nèi)恢復(fù)系統(tǒng)的正常運行。

事前數(shù)據(jù)健康體檢：

通過事前在服務(wù)器以及相關(guān)的數(shù)據(jù)系統(tǒng)部署瑞數(shù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)可以對重要服務(wù)器文件和數(shù)據(jù)庫及備份數(shù)據(jù)進行深度檢測，確保重要數(shù)據(jù)和備份數(shù)據(jù)的安全健康。瑞數(shù)創(chuàng)新的智能數(shù)據(jù)風(fēng)險識別引擎，基于“深度文件內(nèi)容檢測”技術(shù)，能夠高效識別數(shù)據(jù)中心內(nèi)各類結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)是否已被破壞或隱含風(fēng)險。

事中智能威脅檢測：

當(dāng)系統(tǒng)遭受勒索病毒變種攻擊的時候，無需升級特征庫，通過創(chuàng)新的智能數(shù)據(jù)風(fēng)險識別引擎，基于“深度文件內(nèi)容檢測”技術(shù)，高效識別數(shù)據(jù)是否已被破壞或被勒索攻擊。創(chuàng)新的AI智能識別引擎，提供基于“數(shù)據(jù)訪問行為模式”的智能分析與識別能力；通過AI熵值檢測技術(shù)，提升數(shù)據(jù)安全檢測的速度、檢測的正確率，實現(xiàn)全鏈路威脅行為與內(nèi)容變化追蹤，即時發(fā)現(xiàn)可疑的攻擊行為。

事后的快速響應(yīng)恢復(fù)：

當(dāng)系統(tǒng)遭受勒索病毒變種攻擊之后，通過智能檢測沙箱與溯源引擎能夠有效定位攻擊事件根源，移除勒索病毒加密后的文件并用最新的基于數(shù)據(jù)安全底座的干凈備份進行恢復(fù)，同時對系統(tǒng)進行加固，自動生成可直接掛載的干凈數(shù)據(jù)。

官方措施

官方升級，目前官方已發(fā)布安全版本修復(fù)此漏洞，可以將存在風(fēng)險的版本升級到安全版本：

https://www.citrix.com/downloads/citrix-adc/

https://www.citrix.com/downloads/citrix-gateway/

相關(guān)知識

Windows核彈漏洞披露！CVE
CVE
【漏洞通告】Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞（CVE
近年之最！聯(lián)合健康Change Healthcare泄露1億人數(shù)據(jù)，損失近25億美元
Thinstation 桌面云瘦客戶端操作系統(tǒng)簡介
研究人員披露GE HealthCare超聲波醫(yī)療設(shè)備漏洞，能被用于部署惡意程序
研究人員揭露GE HealthCare超音波醫(yī)療設(shè)備漏洞，並指出能被用於部署惡意程式、搜刮病人檢查結(jié)果
安全知識，等保，密評，網(wǎng)絡(luò)安全
官方通報ComfyUI存多個高危漏洞：已被境外黑客利用對我國網(wǎng)絡(luò)實施攻擊
2024漏洞風(fēng)險啟示錄：在攻防的螺旋中尋找「治愈」之道

網(wǎng)址: Citrix CVE http://m.u1s5d6.cn/newsview1816851.html