Actualización: Citrix - CVE-2023-3519
En agosto de 2023, CISA recibió TTP e IOC de una víctima adicional y de terceros. Los actores implantaron un webshell, obtuvieron acceso de nivel raíz al sistema comprometido y realizaron un descubrimiento en Active Directory (AD).
Como resumen al boletín que anteriormente se publicó, La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publico un aviso de ciberseguridad para advertir a los defensores de la red sobre la explotación de CVE-2023-3519, una vulnerabilidad de ejecución remota de código (RCE) no autenticada que afecta a NetScaler (anteriormente Citrix) Application Delivery Controller (ADC) y NetScaler.
Como actualización al boletín se compartió la actividad realizada por un atacante anonimo.
Los actores de amenazas subieron un webshell PHP *logouttm.php, probablemente como parte de su cadena de explotación inicial, a */netscaler/ns_gui/vpn/.
Una hora después de instalar el webshell, los actores implantaron un binario de formato ejecutable y vinculable (ELF) pykeygenque configuró el identificador único del usuario (UID) como raíz y ejecutó /bin/sh a través de setuidy execve syscall.
También se observó que los actores de amenazas utilizan un binario ELF (llamado pip4) para ejecutar /bin/shy syscall cambiar el UID a raíz. pip4 estaba ubicado en /var/python/bin.
Con acceso a nivel de raíz, los actores utilizaron el teclado para realizar descubrimientos. Consultaron la vía AD ldapsearchpara usuarios, grupos y computadoras. Recopilaron los datos en archivos de texto comprimidos con gzip
1.cssy renombrados
2.cssy colocaron los archivos /netscaler/ns_gui/vpn/ para su filtración.
Después de extraer los archivos, los actores los eliminaron del sistema, así como algunos registros de acceso, registros de errores y registros de autenticación.
La organización víctima detectó la intrusión y mitigó la actividad, pero no identificó signos de actividad maliciosa adicional.
Además de esto, los atacantes adjuntaron la ruta del Shell a una carpeta accesible desde la web, esto les permitió que ejecutaran comandos como root y habilitaron la persistencia por que el webshell se ejecutaba en cada reinicio.
chmod u+s /bin/sh
echo “” > /[redacted path to webshell]/[redacted].php
Técnicas utilizadas:
· Infraestructura comprometida
· Obtener capacidades: herramienta
· Intérprete de comandos y secuencias de comandos: Unix Shell
· API nativa
· Ejecución de inicio automático de inicio o inicio de sesión
· Proxy: Proxy de múltiples saltos
· Desofuscar/decodificar archivos o información
· Modificación de permisos de archivos y directorios: Modificación de permisos de archivos y directorios de Linux y Mac
· Deteriorar defensas: deshabilitar o modificar herramientas
· Extracción del indicador
· Eliminación del indicador: borrar registros del sistema Linux o Mac
· Eliminación del indicador: eliminación de archivos
· Enmascaramiento
· Enmascaramiento: Coincidir con el nombre o ubicación legítimos
· Datos preparados: almacenamiento provisional de datos locales
· Túnel de protocolo
Indicadores de compromiso:
| Archivo | HASH SHA-1 |
| sesióntm[.]php | 3345ad8b43d6771532ca55acf7e95fe98aeadb27 |
| pykeygen | b8f9258e9c7c882944e2b773557b49e5821517fe |
| información[.]php | 55c83cb25be5c521e4874e22b1422c360abf0a29 |
| NPS | ec17f7b3acb2334a062c37e0271c31c3c8b6879c |
| el | dec36a2aa4ecb86eafd01015e27c06f51d104317 |
| IP | Descripcion |
| 5.2.64[.]155 | Los actores de amenazas utilizaron esto para lanzar un webshell. |
| 5.255.101[.]76 | Intento de conexión saliente a este C2 observado en una víctima. |
| 172.94.124[.]18 | Los actores de amenazas utilizaron esta infraestructura para acceder de forma remota a la red de una víctima. |
| 154.6.91[.]149 | Los actores de amenazas utilizaron esta infraestructura para acceder de forma remota a la red de una víctima. |
Métodos de Detección:
Ejecute las siguientes comprobaciones creadas por la víctima en la interfaz del shell ADC para buscar signos de compromiso:
1. Busque archivos más recientes que la última instalación.
2. Modifica el -newermtparámetro con la fecha que corresponde a tu última instalación:
▪ find /netscaler/ns_gui/ -type f -name *.php -newermt [YYYYMMDD] -exec ls -l {} \;
▪ find /var/vpn/ -type f -newermt [YYYYMMDD] -exec ls -l {} \;
▪ find /var/netscaler/logon/ -type f -newermt [YYYYMMDD] -exec ls -l {} \;
▪ find /var/python/ -type f -newermt [YYYYMMDD] -exec ls -l {} \;
3. Verifique los registros de errores de http para detectar anomalías que puedan deberse al exploit inicial:
▪ zgrep '\.sh' /var/log/httperror.log*
▪ zgrep '\.php' /var/log/httperror.log*
4. Verifique los registros de shell en busca de comandos inusuales post-ex, por ejemplo:
▪ grep '/flash/nsconfig/keys' /var/log/sh.log*
5. Busque setuidbinarios eliminados:
▪ find /var -perm -4000 -user root -not -path "/var/nslog/*" -newermt [YYYYMMDD] -exec ls -l {} \;
6. Revise los registros de red y firewall para el escaneo en toda la subred de HTTP/HTTPS/SMB (80/443/445) que se origina en el ADC.
7. Revise los registros de DNS para detectar un aumento inesperado en la búsqueda de nombres de computadoras de la red interna que se origina en el ADC
8. Revise los registros de red/firewall para detectar picos inesperados en el tráfico AD/LDAP/LDAPS que se origina en el ADC
9. Revise el número de conexiones/sesiones de NetScaler ADC por dirección IP para detectar intentos de conexión excesivos desde una sola IP
10. Preste atención a transferencias salientes más grandes desde el ADC durante un corto período de tiempo de sesión.
11. Revise los registros de AD para detectar actividades de inicio de sesión que se originan en la IP de ADC con la cuenta configurada para la conexión de AD.
12. Si la restricción de inicio de sesión está configurada para la cuenta AD, verifique el evento 4625donde el motivo del error sea "El usuario no tiene permiso para iniciar sesión en esta computadora".
13. Revise los registros internos de NetScaler ADC ( sh.log*, bash.log*) en busca de rastros de posible actividad maliciosa ( grepa continuación se proporcionan algunos ejemplos de palabras clave):
▪ database.php
▪ ns_gui/vpn
▪ /flash/nsconfig/keys/updated
▪ LDAPTLS_REQCERT
▪ ldapsearch
▪ openssl + salt
14. Revise los registros de acceso interno de NetScaler ADC ( httpaccess-vpn.log*) para detectar 200 accesos exitosos a recursos web desconocidos.
Versiones Afectadas
NetScaler ADC, NetScaler Gateway
Recomendaciones
1. Instale la versión actualizada relevante de NetScaler ADC y NetScaler Gateway lo antes posible.
2. Ponga en cuarentena o desconecte los hosts potencialmente afectados.
3. Vuelva a crear imágenes de hosts comprometidos.
4. Proporcione nuevas credenciales de cuenta.
5. Recopile y revise artefactos como procesos/servicios en ejecución, autenticaciones inusuales y conexiones de red recientes.
6. Aplicar controles sólidos de segmentación de red en dispositivos NetScaler y otros dispositivos con acceso a Internet.
Si el actor de amenazas usó /flash/nsconfig/rc.netscaler para hacer de /bin/sh un binario setuid y reescribir un webshell en cada reinicio, las organizaciones deben limpiar rc.netscaler para evitar que el webshell se reescriba usando el siguiente tercero: comando creado por el grupo.
root@SOME-NETSCALER# cat /flash/nsconfig/rc.netscaler
[redacted output]
chmod u+s /bin/sh
echo "" > /[redacted webshell path]/[redacted].php
root@SOME-NETSCALER# cat /[redacted webshell path]/[redacted].php
Referencias
Fuente CISA: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a
.jpg)
