疑似中国APT5组织积极利用Citrix ADC和网关关键远程代码执行漏洞(CVE-2022-27518)

作者：Kudelski安全威胁检测与研究团队的Harish Segar 发布日期：2022年12月15日

摘要

2022年12月13日，美国国家安全局(NSA)发布公告，警告APT5（一个被归因于中国的威胁行为者，也称为UNC2630和MANGANESE）正在野外利用Citrix产品。该APT组织一直在积极利用Citrix应用交付控制器(ADC)和网关中的零日漏洞来接管受影响的系统。这个中国国家支持的威胁行为者已知针对电信和科技公司，并曾利用Pulse Secure VPN中的漏洞。

根据Citrix的说法，这个被标识为CVE-2022-27518的关键远程代码执行漏洞，可能允许未经身份验证的攻击者在易受攻击的设备上远程执行命令并夺取控制权。

APT5已展示出针对Citrix应用交付控制器部署的能力。通过针对Citrix ADC，可以绕过正常身份验证控制，促进对目标组织的非法访问。

由于此漏洞的关键性质、国家对手在攻击活动中的积极利用，以及该漏洞存在于设计为直接暴露于互联网的设备上，Kudelski Security强烈建议使用Citrix ADC和网关产品并将其配置为使用SAML服务提供商或身份提供商的组织立即应用可用补丁。

受影响系统和/或应用程序

本公告中描述的漏洞存在于所有Citrix ADC和网关版本12.1（包括FIPS和NDcPP）至13.0（但早于13.0-58.32）之间。

要受此漏洞影响，设备必须配置有SAML服务提供商(SP)或身份提供商(IdP)。

以下受支持的Citrix ADC和Citrix Gateway版本受此漏洞影响：

Citrix ADC和Citrix Gateway 13.0早于13.0-58.32
Citrix ADC和Citrix Gateway 12.1早于12.1-65.25
Citrix ADC 12.1-FIPS早于12.1-55.291
Citrix ADC 12.1-NDcPP早于12.1-55.291

所有版本早于12.1的Citrix Gateway和Citrix ADC产品均已终止生命周期(EoL)，并且未收到此漏洞的补丁。Citrix建议运行EOL版本的组织更新到较新版本以缓解此漏洞。

客户可以通过检查ns.conf文件中的以下命令来确定其Citrix ADC或Citrix Gateway是否配置为SAML SP或SAML IdP：

1

add authentication samlAction # 这意味着设备配置为SAML SP

或

1

add authentication samlIdPProfile # 这意味着设备配置为SAML IdP

如果ns.conf文件中存在任一命令，并且Citrix软件版本是本公告中列出的受影响版本，则必须更新设备以缓解问题。

利用Tenable的组织可以使用以下Tenable Nessus插件来查找其设备软件是否已知易受此关键漏洞影响：https://www.tenable.com/plugins/nessus/73204

解决方案

所有使用受影响版本的用户应更新到当前12.1版本（包括FIPS和NDcPP变体）或当前13.0版本（13.0-88.16）。使用具有SAML SP或IdP配置的受影响版本的组织应立即安装当前版本。作为替代方案，组织可以选择升级到不受影响的13.1版本。

运行受影响版本的组织可以设置审计日志记录，以监控ADC或网关设备上的未经授权活动，利用以下文档： https://docs.citrix.com/en-us/citrix-adc/current-release/system/audit-logging/configuring-audit-logging.html

但是，需要注意的是，仅仅升级到最新版本的Citrix ADC或Gateway可能无法缓解被利用的设备，因为NSA的公告指出，APT5在利用后一直在修改合法二进制文件以保持持久性。组织应调查任何先前运行易受攻击版本的Citrix软件并配置了SAML身份验证的设备，通过执行本公告"检测指导"部分中概述的步骤来查找受损迹象。

临时解决方法和缓解措施

Citrix表示，除了在所有受影响的Citrix设备上暂时禁用SAML身份验证外，没有已知的解决方法。

检测和行为检查指导

注意：此指导由NSA提供，未经Kudelski Security修改

关键可执行文件是对Citrix ADC设备正常运行至关重要的二进制文件。这些文件包括但不限于：nsaaad、nsconf、nsreadfile和nsconmsg。

您应将那些二进制文件的哈希值与供应商的已知良好哈希值或从供应商下载的已知良好副本的相应二进制文件的哈希值进行比较。任何偏差都需要进一步调查。

可以从Citrix设备上的shell执行以下命令以促进此比较：

1

cd /netscaler ; for i in "nsppe nsaaad nsconf nsreadfile nsconmsg"; do md5 ${i} ; done

此外，以下命令可以通过一种APT5技术指示篡改。这由一行输出指示，但否则没有输出：

1

procstat –v $(pgrep –o –i nsppe) | grep "0x10400000 " | grep "rwx"

除了对合法二进制文件的任何更改外，APT5的一些活动可能在各种系统日志中可见。NSA建议组织利用所有系统日志的离线日志记录机制，包括dmesg和ns.log，并主动监控以下活动：

日志中出现pb_policy实例但未链接到预期的管理员活动。攻击者已被发现利用运行’pb_policy’两次的工具。这在ns.log中创建以下日志：

1
2


<local0.info> [hostname] pb_policy: Changing pitboss policy from X to Y
<local0.info> [hostname] pb_policy: Changing pitboss policy from Y to X

其中X和Y是系统的常数值。

日志中的空白，或设备上的日志与远程日志记录解决方案中的日志不匹配。
合法用户帐户活动，但没有相应记录表明身份提供商为环境颁发了有效的SAML令牌。
未经授权修改用户权限。
未经授权修改crontab文件和/或在/var/cron/tabs/和其他位置存在可疑文件。与此活动相关的文件已在/tmp中发现，但并非所有受影响的组织都存在。

以下命令可以帮助查找与此活动相关的文件。虽然这些文件并非在所有环境中都发现，但如果发现它们的存在可能表明攻击者活动：

1

find / -type f -name "res*" | grep -E 'res($|\.[a-z]{3})$'

恢复

如果您从上述检测方法和命令中获得结果，Kudelski Security强烈建议您立即联系您的事件响应团队或IR保留提供商。

此外，NSA提供了以下指导：

将所有Citrix ADC实例移动到VPN后面或其他功能之后，这些功能需要有效的用户身份验证（理想情况下是多因素）才能访问ADC。
将Citrix ADC设备与环境隔离，以确保任何恶意活动得到控制。
将Citrix ADC恢复到已知良好状态。

网络融合中心正在做什么

CFC正在与我们的漏洞扫描供应商合作伙伴合作，部署插件以检测此漏洞。一旦可用，拥有CFC漏洞扫描服务的组织将能够验证此漏洞是否在漏洞扫描范围内的系统上发现。

CFC将开始调查威胁搜寻的潜在途径 - 但由于Citrix ADC和网关设备提供的可见性有限，我们可能只能利用已配置为将日志数据发送到CFC监控的SIEM系统的设备的日志。我们强烈建议所有客户与CFC合作，确保其SIEM正在接收Citrix ADC和网关日志。