零日漏洞影响关键基础设施组织

主要重点

• 利用一个已修补的零日漏洞，威胁行为者从一个关键基础设施组织窃取了敏感数据。
• 此事件由美国网络安全和基础设施安全局（CISA）在周四发布的安全建议中披露。
• 威胁行为者利用远程代码执行（RCE）漏洞控制了该组织的数据，包括Microsoft Active Directory权限。
• CISA强烈建议所有组织立即应用Citrix修补的漏洞，以防止进一步的利用事件。

根据美国网络安全和基础设施安全局（CISA）的报告，最近有威胁行为者利用一个已修补的零日漏洞，从一个关键基础设施组织中窃取敏感数据。CISA在周四发布的中表示，这一攻击发生在上个月，但未透露具体的目标组织或其所属行业。

这些威胁行为者通过利用远程代码执行漏洞来窃取MicrosoftActiveDirectory的权限，并控制该组织的数据。该漏洞的编号为，CVSSv3评分为9.8，属于高危险等级。

攻击针对Active Directory数据

为了能够利用此漏洞，受影响的设备必须配置为网关（VPN虚拟伺服器、ICA代理、CVPN或RDP代理）或作为身份验证、授权和审核（AAA）虚拟伺服器。

CISA在其建议中提到，上个月的攻击涉及威胁行为者利用该漏洞作为零日漏洞，将一个Webshell放置在受害组织的非生产环境中的NetScalerADC设备上。CISA指出：“在他们的初次利用链中，威胁行为者上传了一个TGZ（压缩档案）文件，其中包含通用Webshell、发现脚本和setuid二进制档案，”并在子网上进行了SMB（MicrosoftServer Message Block协议）扫描。

该Webshell使攻击者能够对受害组织的Active Directory进行探索，并收集和窃取ActiveDirectory数据。CISA补充道：“这些行为者尝试横向移动到域控制器，但由于设备的网络分段控制，运动被阻止。”此外，攻击者在受害者设备上植入了第二个Webshell，但随后将其移除，这可能是一个具有代理功能的PHPShell。

预期漏洞利用将迅速增加

这一漏洞是Citrix在周二公开披露并发布修补的三个漏洞之一。其他漏洞包括（CVSS评级：8.3），一个导致反射性跨站脚本（XSS）攻击的错误输入验证漏洞，以及（CVSS评级：8.0），一个导致特权提升到root管理员（nsroot）的错误权限管理漏洞。

同日，Rapid7的资深漏洞研究经理CaitlinCondon在。她表示，Net