Mandiant a publié un scanner pour vérifier si un Citrix NetScaler Application Delivery Controller (ADC) ou NetScaler Gateway Appliance a été compromis dans des attaques généralisées exploitant la vulnérabilité CVE-2023-3519.
La faille critique CVE-2023-3519 Citrix a été découverte à la mi-juillet 2023 en tant que zero-day, les pirates l’exploitant activement pour exécuter du code à distance sans authentification sur des appareils vulnérables.
Une semaine après que Citrix a rendu disponibles les mises à jour de sécurité pour résoudre le problème, Shadowserver a signalé qu’il y avait encore 15 000 appliances exposées à Internet qui n’avaient pas appliqué les correctifs.
Cependant, même pour les organisations qui ont installé les mises à jour de sécurité, le risque d’être compromis demeure, car le correctif ne supprime pas les logiciels malveillants, les portes dérobées et les webshells plantés par les attaquants dans la phase post-compromis.
Scanner vérifie les appareils piratés
Aujourd’hui, Mandiant a publié un scanner qui permet aux organisations d’examiner leurs appareils Citrix ADC et Citrix Gateway pour détecter des signes de compromission et d’activité post-exploitation.
« L’outil est conçu pour faire de son mieux pour identifier les compromis existants », lit-on dans le message de Mandiant.
« Il n’identifiera pas un compromis 100% du temps, et il ne vous dira pas si un appareil est vulnérable à l’exploitation. »
Mandian’t Ctrix IOC Scanner doit être exécuté directement sur un périphérique ou une image médico-légale montée, car il analysera le système de fichiers local et les fichiers de configuration pour détecter la présence de divers IOC.
Une fois terminé, le scanner affichera un résumé détaillant s’il a rencontré des signes de compromission, comme indiqué ci-dessous.
S’il détecte que l’appareil a été compromis, le scanner affichera un rapport détaillé répertoriant les différents indicateurs de compromis qui ont été détectés.
Certains des indicateurs de compromission recherchés par l’analyseur sur les appareils Citrix sont répertoriés ci-dessous :
- Chemins d’accès au système de fichiers pouvant contenir des fichiers suspects :
- /var/netscaler/logon/LogonPoint/uiareas
- /var/netscaler/logon/LogonPoint/uiareas// /netscaler/ns_gui/epa/scripts//
- /netscaler/ns_gui/vpns/theme/default
- /var/vpn/themes/
- Attaquant connu ou commandes suspectes dans l’historique du shell :
- whoami$
- chat /flash/nsconfig/keys
- ldapsearch
- chmod +x /tmp
- openssl des3
- ping-c 1
- cp /bin/sh
- chmod +s /var
- echo <?php
- Fichiers dans les répertoires NetScaler dont le contenu correspond aux IOC connus :
- /var/vpn/theme/.theme.php
- /var/tmp/le
- /var/tmp/npc
- /var/tmp/conf/npc.conf
- /var/tmp/conf/multi_account.conf
- Fichiers avec des autorisations ou des propriétaires suspects, tels que des binaires setuid inhabituels.
- Fichiers Crontab pour l’utilisateur ‘nobody’.
- Tâches cron historiques exécutées en tant que « personne ».
- Processus en cours d’exécution suspects exécutés en tant que « personne » ou exécutés à partir de « /var/tmp ».
Plus de détails sur l’utilisation de l’outil de numérisation et l’interprétation des résultats sont disponibles sur le référentiel GitHub de Mandiant pour le projet.
Si le scanner révèle des signes de compromission, il est recommandé d’effectuer un examen médico-légal complet sur les appareils et les parties du réseau concernés pour évaluer la portée et l’étendue de la violation, ce qui nécessite un ensemble d’outils différent.
Il est important de noter qu’un résultat négatif ne doit pas être considéré comme une garantie qu’un système n’a pas été compromis, car les attaquants ont encore de nombreuses façons de cacher leurs traces et, dans de nombreux cas, ont eu amplement le temps de le faire.
« Les fichiers journaux sur le système avec des preuves de compromis peuvent avoir été tronqués ou supprimés, le système peut avoir été redémarré, un attaquant peut avoir altéré le système pour supprimer les preuves de compromis et/ou installé un rootkit qui masque les preuves de compromis. » – Mandiant
Il est recommandé d’exécuter le scanner sur toutes les appliances exposées à Internet tout en exécutant une version de micrologiciel vulnérable à tout moment.
Le scanner a été conçu pour être utilisé avec Citrix ADC et Citrix Gateway versions 12.0, 12.1, 13.0 et 13.1.