Уязвимость в ПО Citrix позволяет проникнуть в сети 80 тыс. компаний

Уязвимость в ПО Citrix позволяет проникнуть в сети 80 тыс. компаний

Уязвимость в ПО Citrix позволяет проникнуть в сети 80 тыс. компаний

Эксперт Positive Technologies Михаил Ключников обнаружил критическую уязвимость в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies установили, что потенциально уязвимы не менее 80 000 компаний из 158 стран. В ТОП-5 по количеству таких организаций входят Соединенные Штаты Америки (абсолютный лидер — более 38% всех уязвимых организаций расположены на территории США), Германия, Великобритания, Нидерланды, Австралия. Россия находится на 26-м месте рейтинга по общему числу потенциально уязвимых компаний различных секторов бизнеса — всего более 300 организаций, в том числе входящих в список крупнейших компаний России по версии РБК. Казахстан и Беларусь находятся на 44-м и 45-м местах по числу уязвимых компаний соответственно.

Выявленной уязвимости присвоен идентификатор CVE-2019-19781, официально вендор пока не присвоил ей уровень опасности по шкале CVSS, однако, по экспертной оценке специалистов Positive Technologies, данная уязвимость соответствует наивысшему, 10-му уровню опасности. Ей подвержены все поддерживаемые версии продукта и все поддерживаемые платформы, в том числе Citrix ADC и Citrix Gateway версии 13.0, Citrix ADC и NetScaler Gateway версии 12.1, Citrix ADC и NetScaler Gateway версии 12.0, Citrix ADC и NetScaler Gateway версии 11.1, а также Citrix NetScaler ADC и NetScaler Gateway версии 10.5. В зависимости от конкретной конфигурации, приложения Citrix могут использоваться для подключения к рабочим компьютерам и критически важным бизнес-системам (в том числе таких классов, как ERP). Практически во всех случаях приложения Citrix доступны на периметре сети компании, а значит, подвержены атакам в первую очередь. Данная уязвимость позволяет внешнему неавторизованному злоумышленнику не только получить доступ к опубликованным приложениям, но и проводить атаки с сервера Citrix на другие ресурсы внутренней сети атакуемой компании. Компания Citrix выпустила комплекс мер, направленных на компенсацию данной уязвимости, а также настаивает на незамедлительном обновлении всех уязвимых версий ПО до рекомендуемых.

«Приложения Citrix широко применяются в корпоративных сетях, в том числе для организации терминального доступа сотрудников к внутренним приложениям компании с любого устройства через интернет. Учитывая высокий уровень риска выявленной уязвимости и распространенность ПО Citrix в бизнес-среде, мы рекомендуем службам ИБ принять незамедлительные меры по устранению угрозы, — отмечает Дмитрий Серебрянников, директор департамента анализа защищенности Positive Technologies. — Отдельно хотим отметить высокую оперативность работы вендора, который сформировал и опубликовал комплекс мер по снижению рисков буквально за две недели с момента выявления уязвимости. Наш опыт показывает, что этот период в ряде случаев может растягиваться до месяцев».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа

Объявившийся в прошлом месяце облегченный Windows-стилер распространяется через вредоносные документы Google Drive, при открытии которых запускается обфусцированный скрипт PowerShell — загрузчик.

Проведенный в G DATA анализ показал, что новобранец Chihuahua создан на основе .NET, имеет модульную архитектуру и умело уклоняется от обнаружения.

Цепочку заражения запускает небольшой лаунчер, выполняющий Base64-строку с помощью командлета PowerShell. Это позволяет обойти политики запуска скриптов и незаметно внедрить runtime-логику в закодированную полезную нагрузку.

После декодирования скрипт второй ступени преобразует тяжелый обфусцированный пейлоад — удаляет кастомные разделители и заменяет шестнадцатеричные символы ASCII, динамически воссоздавая сценарий третьей ступени. Подобный трюк призван воспрепятствовать детектированию средствами статического анализа и песочницы.

Деобфусцированный скрипт создает запланированное задание на ежеминутный запуск проверки папки «Недавние места» на наличие маркеров инфицирования (файлов .normaldaki). При положительном результате происходит соединение с C2 для получения дальнейших инструкций.

На последней стадии заражения на машину жертвы скачиваются NET-сборка и финальный пейлоад — Chihuahua Stealer (VirusTotal52/72 на 14 мая), который расшифровывается и грузится в память для выполнения.

 

Примечательно, что при запуске вредонос вначале печатает в консоли текст песни из репертуара Джона Гарика — классический образец российского трэпа в транслите. Как оказалось, за это отвечает функция DedMaxim().

 

После столь необычной прелюдии инфостилер приступает к выполнению основных задач:

  • дактилоскопирует зараженную машину (использует WMI для получения имени компьютера и серийного номера диска);
  • крадет данные из браузеров и расширений-криптокошельков, которые находит по списку известных ID;
  • пакует собранную информацию в ZIP-файл с расширением .chihuahua, шифруя его по AES-GCM с помощью Windows CNG API;
  • отправляет добычу на свой сервер по HTTPS.

Завершив работу, зловред тщательно стирает следы своей деятельности — используя стандартные команды, удаляет созданные запланированное задание, временные файлы и консольный вывод.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru