Citrix の CVE-2019-19781 の脆弱性を悪用して VPN ゲートウェイを侵害していたハッカーたちは、現在、他のハッカーの侵入を防ぐためにサーバーにパッチを適用している。
FireEyeの研究者は、NetScalerサーバーの緩和コードをエクスプロイトにバンドルしているハッカーグループ(NOTROBINと名付けられている)を発見したと報告しています。ハッカーたちはこの脆弱性を悪用してサーバーにアクセスし、既存のマルウェアを駆除し、独自のバックドアを設置した後、緩和策によって脆弱なコードを将来のエクスプロイト攻撃からブロックします。
明らかに、これは高潔な行為というよりは、他人が pwned ボックスにアクセスできないようにするための方法です。
「この攻撃者は、脆弱なNetScalerデバイスにアクセスすると、既知のマルウェアをクリーンアップし、NOTROBINを展開してその後の攻撃をブロックします」とFireEyeチームは説明した。
しかし、NOTROBINは秘密のパスフレーズを知っている者のためにバックドアアクセスを維持しているため、すべてが見た目通りというわけではありません。FireEyeは、この攻撃者が次の攻撃のためにNetScalerデバイスへのアクセスを密かに収集している可能性があると考えています。
攻撃者がこのバグを軽減しようと考えたとしても、このバグをスキャンし、標的にしているハッカーの数を考えると、驚くには当たらない。いわゆる「Shitrix」の脆弱性を悪用しようとする他のグループにとって、侵入されたサーバーをいわば地図から消し去ることは理にかなっていると言えるだろう。
FireEyeは、攻撃の詳細はまだ解明していないものの、エクスプロイトの大部分は単一のスクリプトによって実行されているとみられると述べている。HTTP POSTリクエスト経由で配信されるこのスクリプトは、マシン上で実行中のすべての暗号通貨スクリプトを強制終了するコマンドを発行し、攻撃の次の段階を開始するためのディレクトリを作成し、二次的なNOTROBINペイロードをダウンロードして実行する。
今すぐパッチを適用してください: 公開されたCitrixアプリケーションにより、潜在的に8万社の企業のネットワークが攻撃者の危険にさらされています
続きを読む
「暗号通貨マイナーは一般的に簡単に特定できます。CPUをほぼ100%使用しているプロセスを探すだけで済みます」とFireEyeは述べています。「これらの不要なユーティリティをアンインストールすることで、攻撃者は管理者がNetScalerデバイスの明らかな侵害を見逃すことを期待している可能性があります。」
二次ペイロードがダウンロードされ起動されると、攻撃者が後でアクセスできるようにバックドアをインストールし、次にマシン上の既知のマルウェアを検索して削除し、脆弱性を悪用しようとするすべての攻撃を監視およびブロックする 2 つのスクリプトを起動します。
「この緩和策は、NetScalerテンプレート内に存在する段階的なエクスプロイトコードを、それが呼び出される前に削除することで機能します」とFireEyeのチームは説明しました。「しかし、攻撃者がその後のエクスプロイトでハードコードされたキーを提供した場合でも、NOTROBINはペイロードを削除しません。そのため、攻撃者は後から脆弱なデバイスに再びアクセスできるようになります。」
脆弱性のあるCitrixデバイスのほとんどは、ベンダーが提供する緩和策を適用することで攻撃から保護できますが、一部のデバイスでは、保護策を実際に機能させるためにファームウェアのアップデートが必要になります。Citrixは、この脆弱性に対する完全なパッチを1月20日までに提供することを約束しています。®
