Mandiant 发布了一款扫描器，用于检查 Citrix NetScaler 应用程序交付控制器 (ADC) 或 NetScaler Gateway 设备是否在利用 CVE-2023-3519 漏洞的广泛攻击中受到损害。 

关键的 CVE-2023-3519 Citrix 漏洞于 2023 年 7 月中旬作为零日漏洞被发现，黑客积极利用该漏洞远程执行代码，而无需在易受攻击的设备上进行身份验证。

Citrix 进行安全更新以解决该问题一周后，  Shadowserver 报告 称仍有 15,000 台暴露在互联网上的设备尚未应用补丁。

然而，即使对于安装了安全更新的组织来说，被攻击的风险仍然存在，因为该补丁不会删除攻击者在攻击后阶段植入的恶意软件、后门和 Webshel​​l。

扫描仪检查是否有被黑客入侵的设备

今天，Mandiant 发布了一款扫描仪，使组织能够检查其 Citrix ADC 和 Citrix Gateway 设备是否存在受损迹象和利用后活动。

Mandiant 的帖子中写道：“该工具旨在尽最大努力识别现有的妥协 。 ”

“它不会 100% 地识别出威胁，也不会告诉您设备是否容易受到攻击。”

Mandiant Ctrix IOC 扫描程序必须直接在设备或已安装的取证映像上运行，因为它将扫描本地文件系统和配置文件以查找是否存在各种 IOC。

完成后，扫描仪将显示一个摘要，详细说明是否遇到任何妥协迹象，如下所示。

如果检测到设备受到损害，扫描仪将显示详细的报告，列出检测到的各种损害指标。

下面列出了扫描器在 Citrix 设备上查找的一些 妥协指标：

• 文件系统路径可能包含可疑文件：
  • /var/netscaler/登录/LogonPoint/uiareas
  • /var/netscaler/登录/LogonPoint/uiareas/*/
  • /netscaler/ns_gui/epa/scripts/*/
  • /netscaler/ns_gui/vpns/主题/默认
  • /var/vpn/主题/
• shell 历史记录中已知的攻击者或可疑命令：
  • 哇阿米$
  • 猫 /flash/nsconfig/keys
  • LDAP搜索
  • chmod +x /tmp
  • openssl des3
  • 平-c 1
  • cp /bin/sh
  • chmod +s /var
  • 回声
• NetScaler 目录中内容与已知 IOC 匹配的文件：
  • /var/vpn/主题/.theme.php
  • /var/tmp/the
  • /var/tmp/npc
  • /var/tmp/conf/npc.conf
  • /var/tmp/conf/multi_account.conf
• 具有可疑权限或所有权的文件，例如异常的 setuid 二进制文件。
• “nobody”用户的 Crontab 文件。
• 历史 cron 作业以“无人”身份运行。
• 可疑的正在运行的进程以“nobody”身份运行或从“/var/tmp”运行。

如果扫描仪显示出妥协的迹象，建议对受影响的设备和网络部分进行完整的取证检查，以评估违规的范围和程度，这需要一套不同的工具。

值得注意的是，负面结果不应被视为系统没有受到损害的保证，因为攻击者仍然有很多方法来隐藏他们的痕迹，并且在许多情况下，有足够的时间来这样做。

建议在随时运行易受攻击的固件版本的同时，在所有暴露于互联网的设备上运行扫描仪。

该扫描仪设计为与 Citrix ADC 和 Citrix Gateway 版本 12.0、12.1、13.0 和 13.1 配合使用。