零日漏洞影响关键基础设施组织

主要重点

利用一个已修补的零日漏洞，威胁行为者从一个关键基础设施组织窃取了敏感数据。此事件由美国网络安全和基础设施安全局CISA在周四发布的安全建议中披露。威胁行为者利用远程代码执行RCE漏洞控制了该组织的数据，包括Microsoft Active Directory权限。CISA强烈建议所有组织立即应用Citrix修补的漏洞，以防止进一步的利用事件。

根据美国网络安全和基础设施安全局CISA的报告，最近有威胁行为者利用一个已修补的零日漏洞，从一个关键基础设施组织中窃取敏感数据。CISA在周四发布的网络安全建议中表示，这一攻击发生在上个月，但未透露具体的目标组织或其所属行业。

这些威胁行为者通过利用Citrix揭露的远程代码执行漏洞来窃取Microsoft Active Directory的权限，并控制该组织的数据。该漏洞的编号为CVE20233519，CVSS v3评分为98，属于高危险等级。

攻击针对Active Directory数据

为了能够利用此漏洞，受影响的设备必须配置为网关VPN虚拟伺服器、ICA代理、CVPN或RDP代理或作为身份验证、授权和审核AAA虚拟伺服器。

CISA在其建议中提到，上个月的攻击涉及威胁行为者利用该漏洞作为零日漏洞，将一个Webshell放置在受害组织的非生产环境中的NetScaler ADC设备上。CISA指出：“在他们的初次利用链中，威胁行为者上传了一个TGZ压缩档案文件，其中包含通用Webshell、发现脚本和setuid二进制档案，”并在子网上进行了SMBMicrosoft Server Message Block协议扫描。

轻蜂加速器app

该Webshell使攻击者能够对受害组织的Active Directory进行探索，并收集和窃取Active Directory数据。CISA补充道：“这些行为者尝试横向移动到域控制器，但由于设备的网络分段控制，运动被阻止。”此外，攻击者在受害者设备上植入了第二个Webshell，但随后将其移除，这可能是一个具有代理功能的PHP Shell。

预期漏洞利用将迅速增加

这一漏洞是Citrix在周二公开披露并发布修补的三个漏洞之一。其他漏洞包括CVE20233466CVSS评级：83，一个导致反射性跨站脚本XSS攻击的错误输入验证漏洞，以及CVE20233467CVSS评级：80，一个导致特权提升到root管理员nsroot的错误权限管理漏洞。

同日，Rapid7的资深漏洞研究经理Caitlin Condon在博客中发布了有关这三个漏洞的讯息。她表示，Net