公司新闻

NetScaler RCE漏洞被利用以盗取关键基础设施的Active Directory数据

2025-04-08

零日漏洞影响关键基础设施组织

主要重点

利用一个已修补的零日漏洞,威胁行为者从一个关键基础设施组织窃取了敏感数据。此事件由美国网络安全和基础设施安全局CISA在周四发布的安全建议中披露。威胁行为者利用远程代码执行RCE漏洞控制了该组织的数据,包括Microsoft Active Directory权限。CISA强烈建议所有组织立即应用Citrix修补的漏洞,以防止进一步的利用事件。

根据美国网络安全和基础设施安全局CISA的报告,最近有威胁行为者利用一个已修补的零日漏洞,从一个关键基础设施组织中窃取敏感数据。CISA在周四发布的网络安全建议中表示,这一攻击发生在上个月,但未透露具体的目标组织或其所属行业。

这些威胁行为者通过利用Citrix揭露的远程代码执行漏洞来窃取Microsoft Active Directory的权限,并控制该组织的数据。该漏洞的编号为CVE20233519,CVSS v3评分为98,属于高危险等级。

攻击针对Active Directory数据

为了能够利用此漏洞,受影响的设备必须配置为网关VPN虚拟伺服器、ICA代理、CVPN或RDP代理或作为身份验证、授权和审核AAA虚拟伺服器。

CISA在其建议中提到,上个月的攻击涉及威胁行为者利用该漏洞作为零日漏洞,将一个Webshell放置在受害组织的非生产环境中的NetScaler ADC设备上。CISA指出:“在他们的初次利用链中,威胁行为者上传了一个TGZ压缩档案文件,其中包含通用Webshell、发现脚本和setuid二进制档案,”并在子网上进行了SMBMicrosoft Server Message Block协议扫描。

NetScaler RCE漏洞被利用以盗取关键基础设施的Active Directory数据轻蜂加速器app

该Webshell使攻击者能够对受害组织的Active Directory进行探索,并收集和窃取Active Directory数据。CISA补充道:“这些行为者尝试横向移动到域控制器,但由于设备的网络分段控制,运动被阻止。”此外,攻击者在受害者设备上植入了第二个Webshell,但随后将其移除,这可能是一个具有代理功能的PHP Shell。

预期漏洞利用将迅速增加

这一漏洞是Citrix在周二公开披露并发布修补的三个漏洞之一。其他漏洞包括CVE20233466CVSS评级:83,一个导致反射性跨站脚本XSS攻击的错误输入验证漏洞,以及CVE20233467CVSS评级:80,一个导致特权提升到root管理员nsroot的错误权限管理漏洞。

同日,Rapid7的资深漏洞研究经理Caitlin Condon在博客中发布了有关这三个漏洞的讯息。她表示,Net