来自 防护 2021-10-12 16:13 的文章

cc防御_游戏高防_指南

cc防御_游戏高防_指南

在针对Citrix Application Delivery Controller(ADC)和Gateway中的一个关键缺陷发布漏洞利用脚本后,攻击者会对易受攻击的主机发起攻击,而Citrix则会宣布修补程序的发布日期更新01/24/2020:这篇博文已经更新,以反映Citrix发布的补丁的可用性。背景攻击脚本释放后攻击增加1月10日,Tenable Security Response观察到CVE-2019-19781的漏洞利用脚本,Citrix ADC和Gateway(以前称为NetScaler ADC和NetScaler Gateway)中的一个严重漏洞已发布到GitHub。不久之后,针对脆弱宿主的剥削企图增加的报告浮出水面。#Citrix ADC漏洞被公开/大量使用(有些人试图安装后门)。#cve201919781号https://t.co/5TN4mfpdThpic.twitter.com/WDN6wUm4Km-SANS-ISC(@SANS_-ISC)2020年1月11日根据SANS互联网风暴中心的说法,发布的攻击脚本已经被"大量使用",因为他们发现针对他们的蜜罐的攻击尝试激增。带有补丁发布日期的Citrix更新支持文章1月11日,Citrix更新了对该漏洞的支持文章,宣布计划在1月底发布Citrix ADC和Gateway的补丁。成千上万的Citrix ADC和网关端点仍然易受攻击1月12日,ddos最佳防御点,Bad Packets的首席研究官Troy Mursch发表了一篇博客,其统计数据显示,超过25000个Citrix ADC和网关端点易受CVE-2019-19781攻击。Mursch使用BinaryEdge扫描了超过60000个端点。易受攻击的端点包括政府机构、教育、医疗保健、公用事业、银行业和"众多"财富500强企业。当时,Mursch发现在122多个国家都有易受攻击的宿主,如图所示:·:超过25000个Citrix(Netscaler)端点易受CVE-2019-19781攻击(Troy Mursch)攻击者可以从易受攻击的主机获取LDAP密码、Cookie1月13日,NCC集团首席安全顾问Rich Warren发现了针对易受攻击的ADC和网关主机的攻击者的其他利用途径。根据沃伦的说法,攻击者有能力读取/flash/nsconfig/ns.conf公司文件,其中可能包含哈希的Active Directory/轻型目录访问协议(LDAP)凭据,包括使用hashcat"容易破解"的SHA512密码。CVE-2019-19781开采后注意:如果你看到攻击者正在读取您的/flash/nsconfig吗/ns.conf公司然后你需要更改所有密码。SHA512密码很容易被hashcat破解。pic.twitter.com/mNMaTT1oCE-Rich Warren(@buffaloverflow)2020年1月13日此外,Warren指出,攻击者可以从"/var/stmp/sess_*"路径访问经过身份验证的Cookie,根据Warren的说法,该路径可以被攻击者重用。如果您看到攻击者正在读取/var/nstmp/sess,那么他们就窃取了经过身份验证的cookies,这些cookie可以被重用-沃伦·弗里希(2020年1月13日)1月14日,安全研究人员dozer发表了一篇博客,详细介绍了如何解密从Citrix配置文件中获得的值,并提供了一个Python脚本来执行解密。同一天,hashcat得到了更新,支持破解6.0.0版本中从Citrix Netscaler获得的SHA512哈希。为破解Citrix NetScaler(SHA512)哈希添加了hashcat 6.0.0的支持:https://t.co/OtKRrGuzX4pic.twitter.com/Qr9nc2Avy4-hashcat(@hashcat)2020年1月14日荷兰网络安全中心建议关闭ADC和网关服务器,因为缓解措施在某些情况下无效1月14日,荷兰国家网络安全中心(NCSC)警告称,许多荷兰Citrix服务器易受攻击。1月16日,他们发表了一篇后续报道,称Citrix推荐的措施"并不总是有效的",因为一些缓解措施似乎对某些设备不起作用。NCSC强调,在补丁可用之前,"目前还没有一个好的、有保证的可靠解决方案可用于所有Citrix ADC和Citrix网关服务器"。因此,NCSC建议,如果影响可以接受,考虑"关闭Citrix ADC和网关服务器"。如果没有,他们建议密切监控"可能的虐待"对易受攻击的ADC和网关主机应用缓解措施,维护后门1月16日,FireEye的研究人员发表了一篇博客,内容是针对易受攻击的ADC和网关主机进行攻击的一次特殊观察。据FireEye称,他们已经确定了一个威胁参与者,它阻止了利用该漏洞的尝试,清除了受影响主机上以前的恶意软件感染,同时还部署了自己的名为NOTROBIN的后门程序。该博客提到,WAF防御cc攻击,在一次交战中,FireEye观察到多个威胁参与者成功地对一个易受攻击的主机发起攻击。然而,一旦NOTROBIN安装在主机上,他们发现"超过12次的利用企图都被NOTROBIN挫败了。"FireEye总结道,NOTROBIN背后的行为人可能是在"为即将到来的活动做准备"时这样做的概念证明目前,h3c防火墙如何防御ddos,在GitHub上,TrustedSec、ProjectZeroIndia和mpgn提供了多个攻击脚本,以及一个用于检查易受攻击主机的脚本(来自美国网络安全和基础设施安全局(CISA))。供应商回复自从发布漏洞脚本以来,Citrix已经多次更新了他们的支持文章,提供了补丁程序的时间表,以及关于新受影响的产品的附加信息以及ADC某些版本中影响缓解步骤的bug。经过调查,Citrix表示,CVE-2019-19781还影响到"Citrix SDWAN的某些部署",特别是Citrix SD-WANOP,因为他们将其与Citrix ADC打包为"负载平衡器"除了最新受影响的产品外,Citrix还发现了一个影响Citrix ADC和Gateway 12.1版本的错误,该漏洞阻止他们的缓解步骤阻止攻击尝试。根据Citrix,51.16/51.19和50.31之前的版本12.1版本包含一个"影响响应程序并重写绑定到VPN虚拟服务器的策略"的错误。如果数据包与策略规则匹配,该漏洞将阻止这些系统处理这些包。对于运行51.16/51.19或50.31之前的12.1版本的客户,建议更新到较新的版本,以便应用缓解步骤,直到1月27日发布补丁。解决方案在发布此博客时,仍然没有针对该漏洞的补丁程序。不过,Citrix表示,cc防御购买,他们计划在2020年1月底之前发布Citrix ADC、NetScaler Gateway和SD-WANOP的补丁。下表包含Citrix ADC和Gateway"refresh builds"的预期发布日期:产品版本刷新生成发布日期Citrix ADC和网关11.111.1.63.152020年1月19日Citrix ADC和网关1212.0.63.13款2020年1月19日Citrix ADC和网关12.112.1.55.18款2020年1月23日Citrix ADC和网关1313.0.47.24节2020年1月23日Citrix ADC和网关10.510.5.70.x节2020年1月24日另外,防御cc,下表包含Citrix SD-WAN WANOP的NetScaler版本的预期发布日期:产品版本NetScaler发布发布日期Citrix SD-WAN广域网10.2.6亿11.1.51.6152020年1月22日Citrix SD-WAN广域网11.0.3段11.1.51.6152020年1月22日识别受影响的系统Tenable Research发布了一个直接检查插件(ID 132752),以识别易受攻击的资产,此外,我们的版本检查插件(ID 132397)可以在这里找到。请注意,版本检查插件(ID 132397)需要启用"paranoid mode"。获取更多信息Tenable之前关于CVE-2019-19781漏洞脚本可用性的博客Citrix发布首个补丁-时间线加速Citrix发布第二个补丁-时间线进一步加快针对CVE-2019-19781(CTX267027)的Citrix安全咨询针对CVE-2019-19781(CTX267679)的Citrix缓解措施从博客上解密网关配置和推土机值FireEye关于威胁演员"诺罗宾"利用CVE-2019-19781的博客成立社区企业网络曝光免费试用30天泰纳布尔.io漏洞管理。