Mandiant ha lanzado un escáner para verificar si un Citrix NetScaler Application Delivery Controller (ADC) o NetScaler Gateway Appliance se vio comprometido en ataques generalizados que explotan la vulnerabilidad CVE-2023-3519.
La falla crítica de Citrix CVE-2023-3519 se descubrió a mediados de julio de 2023 como un Zero-Day, y los delincuentes informáticos la explotaron activamente para ejecutar código de forma remota sin autenticación en dispositivos vulnerables.
Una semana después de que Citrix hiciera disponibles las actualizaciones de seguridad para abordar el problema, Shadowserver informó que todavía había 15.000 dispositivos expuestos a Internet que no habían aplicado los parches.
Sin embargo, incluso para las organizaciones que instalaron las actualizaciones de seguridad, el riesgo de verse comprometido permanece, ya que el parche no elimina el malware, las puertas traseras y los webshells plantados por los atacantes en la fase posterior al compromiso.
El escáner comprueba si hay dispositivos hackeados
Hoy, Mandiant lanzó un escáner que permite a las organizaciones examinar sus dispositivos Citrix ADC y Citrix Gateway en busca de signos de compromiso y actividad posterior a la explotación.
"La herramienta está diseñada para hacer un mejor esfuerzo para identificar los compromisos existentes", se lee en la publicación de Mandiant. "No identificará un compromiso el 100% de las veces, y no le dirá si un dispositivo es vulnerable a la explotación".
Mandian't Ctrix IOC Scanner debe ejecutarse directamente en un dispositivo o en una imagen forense montada, ya que escaneará el sistema de archivos local y los archivos de configuración para detectar la presencia de varios IOC.
Cuando termine, el escáner mostrará un resumen que detalla si encontró algún signo de compromiso, como se muestra a continuación. Si detecta que el dispositivo se vio comprometido, el escáner mostrará un informe detallado que enumera los diversos indicadores de compromiso que se detectaron.
A continuación se enumeran algunos de los indicadores de compromiso (IoC) que busca el escáner en los dispositivos Citrix:
Rutas del sistema de archivos que contienen archivos sospechosos:
- /var/netscaler/logon/LogonPoint/uiareas
- /var/netscaler/logon/LogonPoint/uiareas/*/
- /netscaler/ns_gui/epa/scripts/*/
- /netscaler/ns_gui/vpns/theme/default
- /var/vpn/themes/
Atacante conocido o comandos sospechosos en el historial de shell:
- whoami$
- cat /flash/nsconfig/keys
- ldapsearch
- chmod +x /tmp
- openssl des3
- ping -c 1
- cp /bin/sh
- chmod +s /var
- echo <?php
Archivos en directorios de NetScaler con contenidos que coinciden con IoC conocidos:
- /var/vpn/theme/.theme.php
- /var/tmp/the
- /var/tmp/npc
- /var/tmp/conf/npc.conf
- /var/tmp/conf/multi_account.conf
Archivos con permisos o propiedad sospechosos, como binarios setuid inusuales.
- Crontab files for the 'nobody' user.
- Historical cron jobs running as 'nobody'.
- Suspicious running processes running as 'nobody' or running from '/var/tmp'.
Se pueden encontrar más detalles sobre el uso de la herramienta de escaneo y la interpretación de los resultados en el repositorio GitHub de Mandiant para el proyecto.
Si el escáner revela signos de compromiso, se recomienda realizar un examen forense completo de los dispositivos afectados y las partes de la red para evaluar el alcance y la extensión de la infracción, lo que requiere un conjunto diferente de herramientas.
Es importante tener en cuenta que un resultado negativo no debe tomarse como garantía de que un sistema no se ha visto comprometido, ya que los atacantes aún tienen muchas formas de ocultar sus rastros y, en muchos casos, tuvieron mucho tiempo para hacerlo.
El escáner fue diseñado para usarse con Citrix ADC y Citrix Gateway versiones 12.0, 12.1, 13.0 y 13.1.
Fuente: BC