HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队周三披露，其监测到某高级威胁攻击者利用思科身份服务引擎与思杰NetScaler应用交付控制器产品中的两个零日安全漏洞，开展旨在投递定制化恶意软件的网络攻击。 亚马逊综合安全首席信息安全官CJ·摩西在向《黑客新闻》提供的报告中指出：”这一发现揭示了威胁攻击者正将焦点集中于关键身份验证与网络访问控制基础设施的趋势——这些系统正是企业实施安全策略和管理全网认证所依赖的核心。” 该攻击活动由其马德波特蜜罐网络捕获，攻击者武器化利用了以下两个漏洞： CVE-2025-5777（思杰出血漏洞2.0）（CVSS评分9.3）：思杰NetScaler ADC和网关中的输入验证缺陷，攻击者可利用此漏洞绕过身份验证（思杰已于2025年6月发布补丁） CVE-2025-20337（CVSS评分10.0）：思科身份服务引擎及思科ISE被动身份连接器的未认证远程代码执行漏洞，可允许攻击者以root权限在底层操作系统执行任意代码（思科已于2025年7月修复） 尽管这两项漏洞已被发现遭主动利用，但亚马逊报告首次揭示了具体攻击细节。 攻击链条深度解析 亚马逊表示，其检测到针对CVE-2025-5777的零日漏洞利用尝试，后续调查更发现攻击者通过CVE-2025-20337向思科ISE设备投递异常载荷。整个攻击活动最终部署了伪装成合法思科ISE组件（IdentityAuditAction）的定制化网页外壳。 摩西强调：”这并非常见的现成恶意软件，而是专为思科ISE环境量身定制的后门程序。”该网页外壳具备深度隐匿能力：完全在内存中运行，通过Java反射机制注入正在执行的线程，同时注册监听器监控Tomcat服务器所有HTTP请求，并采用非标准Base64编码的DES加密以规避检测。 攻击特征与防御建议 亚马逊将此次攻击定性为无差别扫描，并指出攻击者属于”高资源支持型”——其能同时利用多个零日漏洞，表明要么具备高级漏洞研究能力，要么可能获取了未公开漏洞信息。此外，定制化工具的使用反映出攻击者对企业级Java应用、Tomcat内部机制及思科ISE运作原理的深入了解。 这些发现再次表明，威胁攻击者持续瞄准网络边缘设备作为渗透入口。企业亟需通过防火墙或分层访问机制，严格限制对特权管理门户的访问权限。摩西警示：”这些漏洞利用均无需预认证的事实说明，即便是配置完善、精心维护的系统也可能受影响。这凸显了实施全面纵深防御策略、建设能识别异常行为模式的强大检测能力的势在必行。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Citrix 已发布安全更新，修复了一个影响 NetScaler 控制台（原 NetScaler ADM）和 NetScaler 代理的高严重性安全漏洞，该漏洞在特定条件下可能导致权限提升。 该漏洞被追踪为 CVE-2024-12284，CVSS v4 评分为 8.8（满分 10.0）。 该漏洞被描述为权限管理不当，如果 NetScaler 控制台代理已部署，可能会导致已认证的权限提升，允许攻击者执行受损后的操作。 “该问题源于权限管理不足，可能被已认证的恶意行为者利用，无需额外授权即可执行命令，” NetScaler 指出。 “然而，只有已认证且已有权访问 NetScaler 控制台的用户才能利用此漏洞，从而将威胁面限制在已认证用户范围内。” 网络安全 受影响的版本如下： NetScaler 控制台 14.1 低于 14.1-38.53 NetScaler 控制台 13.1 低于 13.1-56.18 NetScaler 代理 14.1 低于 14.1-38.53 NetScaler 代理 13.1 低于 13.1-56.18 以下软件版本已修复该漏洞： NetScaler 控制台 14.1-38.53 及更高版本 NetScaler 控制台 13.1-56.18 及更高版本 NetScaler 代理 14.1-38.53 及更高版本 NetScaler 代理 13.1-56.18 及更高版本 “Cloud Software Group 强烈建议 NetScaler 控制台和 NetScaler 代理的客户尽快安装相关更新版本，” 该公司表示，并补充说没有解决方法可以修复此漏洞。 不过，使用 Citrix 托管的 NetScaler 控制台服务的客户无需采取任何行动。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： 近日，2000余个思杰(Citrix) NetScaler实例被一个后门所破坏。该后门将最近披露的一个武器化后的关键安全漏洞，作为黑客大规模攻击的一部分。 NCC集团在周二发布的一份报告中表示:“攻击者似乎以自动的方式利用了CVE-2023-3519漏洞，在易受攻击的NetScaler上放置了web shell，以获得持久访问权限。” “攻击者可以用这个webshell执行任意命令，即使NetScaler打了补丁和/或重新启动也无济于事。” CVE-2023-3519是指影响NetScaler ADC和网关服务器的关键代码注入漏洞，可能导致未经身份验证的远程代码执行。思杰(Citrix)公司于上个月打了补丁。 一周前，Shadowserver基金会表示，他们发现了近7000个易受攻击、未打补丁的NetScaler ADC和网关实例。“该漏洞正在被滥用，在易受攻击的服务器上投放PHP web shell以进行远程访问。” NCC集团的后续分析显示，1,828台NetScaler服务器仍然存在后门，其中大约1,248台已经针对该漏洞打了补丁。 该公司表示:“这表明，虽然大多数管理员都意识到了这个漏洞，并且已经将他们的NetScaler打了补丁，安装为不受攻击的版本，但他们并没有(适当地)检查安装是否成功。” 总的来说，该公司在1952个不同的NetScaler设备中发现了多达2,491个web shell。大多数被泄露的实例位于德国、法国、瑞士、日本、意大利、西班牙、荷兰、爱尔兰、瑞典和奥地利。 除了欧洲之外，另一个值得注意的方面是，虽然加拿大、俄罗斯和美国上个月底有数千个易受攻击的NetScaler服务器，但没有在其中任何一个服务器上发现web shell。 截至2023年7月21日，在31,127个易受CVE-2023-3519影响的NetScaler实例中，有6.3%受到了大规模攻击。 Mandiant还发布了一个开源工具，帮助组织扫描他们的思杰设备，寻找与CVE-2023-3519相关的开发后活动的证据。   消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

网络安全分析师警告称，数以千计的Citrix ADC 和网关部署仍然存在安全风险，即便该品牌服务器在此之前已经修复了两个严重的安全漏洞。 第一个漏洞是CVE-2022-27510，已于 11 月 8 日修复。可影响两种 Citrix 产品的身份验证绕过。地二个漏洞是CVE-2022-27510，已于 12 月 13 日披露并修补，其允许未经身份验证的攻击者，在易受攻击的设备上执行远程命令并控制它们。 然而，就在Citrix公司发布安全更新对漏洞进行修复时，攻击者已经在大规模利用CVE-2022-27518漏洞了。 NCC Group公司旗下的Fox IT团队的研究人员报告说，虽然大多数面向公众的 Citrix 端点已更新为安全版本，但仍有数千个端点容易受到攻击。 查找易受攻击的版本 Fox IT 分析师于 2022 年 11 月 11 日扫描了网络，发现共有3万台 Citrix 服务器在线。为了确定有多少太服务器受到上述两个漏洞的影响，安全研究人员首先要确定它们的版本号。虽说版本号未包含在服务器的HTTP 响应中，但是却携带了类似 MD5 哈希的参数，可用于将它们与 Citrix ADC 和 Gateway 产品版本进行匹配。 index.htm 中的哈希值 因此，该团队在VM上下载并部署了他们可以从 Citrix、Google Cloud Marketplace、AWS 和 Azure 获取的所有 Citrix ADC 版本，并将哈希值与版本相匹配。 将哈希链接到版本 (Fox It) 对于无法与来源版本匹配的哈希值，研究人员求助于确定构建日期并据此推断出它们的版本号。 将构建日期与哈希相关联 (Fox It) 这进一步减少了未知版本（孤立哈希）的数量，但总的来说，大多数哈希都与特定的产品版本相关联。 数以千计易受攻击的 Citrix 服务器 最终结果如下图所示，表明截至2022年12月28日，大部分服务器在13.0-88.14版本上，不受这两个安全问题的影响。 Citrix 服务器版本 (Fox It) 使用数量排名第二的版本是12.1-65.21，如果满足某些条件，则容易受到 CVE-2022-27518 的攻击，该版本至少有3500个端点在运行。攻击者对此进行利用的前提是，这些服务器必须要使用SAML SP 或 IdP 配置，因此，并非3500个系统都会受到CVE-2022-27518的影响。 有超过 1000 台服务器容易受到 CVE-2022-27510 的影响，大约 3000 个端点可能容易受上述两个严重安全漏洞的影响。 最后，Fox IT 团队希望其博客能够帮助提高 Citrix 管理员的意识，他们尚未针对最近的严重缺陷应用进行安全更新，这将会让很多用户处于风险之中。而统计数据也表明，要对所有设备的安全漏洞进行修复，供应商和企业仍有许多工作要做。   转自 Freebuf，原文链接：https://www.freebuf.com/news/353804.html 封面来源于网络，如有侵权请联系删除