首页保安除...以外,黑客为所有人关闭了Shitrix安全漏洞

黑客为除自己以外的所有人关闭了Shitrix安全漏洞

就在一周前,据透露,黑客正在利用一个漏洞来破坏全球许多企业使用的VPN网关。

漏洞,正式称为 CVE-2019-19781 但是在Citrix Application Delivery Controller和Citrix Gateway(分别称为Netscaler ADC和Netscaler Gateway)的服务器上发现了非官方的“ Shitrix”,但到目前为止Citrix还没有发布 补丁.

黑客

好吧,有好消息也有坏消息。

首先是个好消息:

黑客利用Shitrix错误来访问易受攻击的服务器,清理已知服务器 恶意软件感染 (例如 加密货币挖矿代码法案 并实施建议的Citrix缓解措施,以防止将来的利用漏洞的工作。

好吧,听起来有点,不是吗?

所以这是个坏消息:

正如FireEye研究人员所描述的那样,由团队执行的缓解代码 黑客 保护Citrix服务器不受进一步利用的秘密 后门.

简而言之,黑客已将其他黑客锁定在易受攻击的服务器之外,但并未将其锁定。

FireEye团队已编译了由黑客NOTROBIN安装的先前有效负载。

“ FireEye认为,黑客正在开发NOTROBIN,以防止利用CVE-2019-19781的漏洞,同时保持对受损NetScaler设备的后门访问。 缓解措施的工作原理是先删除NetScaler标准中提供的增量利用代码,然后再使用它。 但是,当黑客在后续利用期间提供硬编码密钥时,NOTROBIN不会删除有效负载。 这允许黑客稍后重新获得对易受攻击设备的访问权限。 ”

“在许多调查中,FireEye跟踪了使用唯一密钥开发NOTROBIN的黑客。 例如,我们已经从不同的二进制文件中恢复了大约100个密钥。 尽管FireEye无法检索任何纯文本,但它们看起来像MD5哈希。 使用复杂,独特使得第三方(例如竞争入侵者或FireEye)很难检测到受NOTROBIN保护的NetScaler设备。 该黑客遵循严格的密码策略! ”

NOTROBIN可以成功接种容易受到Shitrix攻击的设备,但将来也可以打开这些设备 活动 用于犯罪活动 网络空间。 这与我的“罗宾汉”行为不太相似。

最好自己保护系统或让您信任的人为您保护系统,而不是让一群未知的黑客清理混乱。 毕竟,您不能确定他们没有主题 动力.

Citrix已承诺在本月底之前为易受攻击的系统更新固件。

实时新闻