Berita Informasi

Penjahat siber memanfaatkan kerentanan Citrix Bleed untuk menargetkan jaringan pemerintah di seluruh dunia

Pelaku kejahatan dunia maya yang melakukan ancaman sedang menggunakan kelemahan ‘Citrix Bleed’ (dikenali sebagai CVE-2023-4966) untuk menyerang lembaga-lembaga pemerintah, teknologi, dan hukum di berbagai wilayah seperti Amerika, Eropa, Afrika, dan kawasan Asia-Pasifik.

Menurut penelitian yang dilakukan oleh Mandiant, terdapat empat serangan berkelanjutan yang menargetkan perangkat Citrix NetScaler ADC dan Gateway yang memiliki kerentanan. Serangan ini dimulai sejak akhir Agustus 2023.

Perusahaan keamanan tersebut mencatat bahwa setelah serangan terjadi, para pelaku melakukan tindakan seperti mencuri informasi login dan berusaha untuk menghilangkan jejak, sehingga sulit bagi para ahli keamanan untuk melacak serangan tersebut.

Citrix Bleed

Pakar keamanan memberikan peringatan bahwa ribuan perangkat Citrix NetScaler ADC dan Gateway masih belum diperbarui dengan perbaikan keamanan untuk kerentanan serius yang saat ini sedang dimanfaatkan secara luas oleh peneliti keamanan. Kerentanan ini, yang dikenal sebagai CVE-2023-4966 atau Citrix Bleed, memungkinkan penyerang yang tidak memiliki otorisasi untuk mengungkapkan informasi rahasia dari perangkat lokal yang dikonfigurasi sebagai server virtual AAA atau gateway. Citrix telah merilis pembaruan untuk kerentanan ini pada tanggal 10 Oktober dan telah memberi peringatan minggu lalu bahwa penjahat siber aktif memanfaatkannya di lingkungan berbahaya untuk melakukan pembajakan sesi, yang memungkinkan mereka untuk melewati proses otentikasi sepenuhnya, termasuk perlindungan otentikasi multi-faktor.

Rangkaian produk NetScaler mencakup penyeimbangan beban, firewall, dan layanan VPN, sehingga salah satu dampak yang mungkin terjadi adalah terganggunya akses jarak jauh ke jaringan pribadi. NetScaler merespons permintaan tertentu dengan membuang memori kembali ke pengirim, yang dapat berisi token akses untuk pengguna yang masuk. Eksploitasinya sama buruknya dengan apa pun yang Anda berikan aksesnya dari jarak jauh melalui sistem NetScaler Anda. Dan karena ini adalah sesi login, MFA tidak akan melindungi Anda. Masih belum jelas sesi pengguna mana yang biasanya disertakan dalam dump memori dari informasi yang tersedia pada eksploitasi tersebut, meskipun eksploitasi publik tidak memberikan cara bagi penyerang untuk mengontrol sesi mana yang diserang. Hal ini mungkin membatasi dampaknya, namun karena Citrix telah menilai kelemahannya sebagai CVSS 9.4, lebih baik berhati-hati dan berasumsi bahwa kelemahan tersebut dapat mencakup akun yang memiliki hak istimewa tinggi.

Selama beberapa hari terakhir, peneliti keamanan mulai meningkatkan kewaspadaan terhadap eksploitasi CVE-2023-4966 secara luas, dengan berbagai pelaku ancaman, termasuk kelompok ransomware, menargetkan instance NetScaler ADC dan Gateway yang dapat diakses internet. Eksploitasi massal yang sedang berlangsung dimulai sekitar waktu yang sama ketika Assetnote menerbitkan tulisan teknis tentang kerentanan dan eksploitasi bukti konsep (PoC) untuk kerentanan tersebut. Namun, menurut peneliti keamanan Kevin Beaumont, eksploitasi massal belum tentu dipicu oleh publikasi PoC, karena “jelas bahwa banyak kelompok telah memperoleh rincian teknis”.

Dengan mengeksploitasi kerentanan tersebut, penyerang mendapatkan akses ke memori perangkat NetScaler ADC dan Gateway. Hal ini memungkinkan mereka untuk mengambil cookie sesi dan mencoba menghindari proses otentikasi. Dengan kata lain, bahkan jika instance perangkat sudah diperbarui, risiko masih ada karena token sesi tetap ada dalam memori. Kerentanan ini sangat serius karena bisa melewati perlindungan otentikasi multifaktor, dan dampaknya tergantung pada sesi pengguna yang terungkap dan izin yang dimiliki oleh pengguna yang terkena dampak.

Kerentanan ini sangat serius karena dapat melewati perlindungan otentikasi multifaktor, dan dampaknya bervariasi tergantung pada sesi pengguna yang terungkap dan izin yang dimiliki oleh pengguna yang terkena dampak. Meskipun CISA dan Mandiant mengidentifikasi eksploitasi zero-day terhadap kerentanan ini pada bulan Agustus, peneliti dari AssetNote telah menyelidiki kerentanan tersebut dan sekarang telah mengembangkan eksploitasi yang dapat diandalkan. Eksploitasi ini mengingatkan pada peretasan pada tahun 1999, yaitu dengan mengirimkan 24.812 karakter “a” ke sistem target dan menerima sesi pengguna sebagai balasannya.

Citrix mengklaim memiliki lebih dari 400.000 pelanggan di seluruh dunia, termasuk 99% dari perusahaan Fortune 100 dan 98% dari perusahaan Fortune 500, seperti Microsoft, CNET, dan eBay. Dalam sebuah posting blog, Mandiant menyatakan bahwa para korban saat ini termasuk perusahaan teknologi, organisasi pemerintah, dan perusahaan jasa profesional. Citrix telah merilis pembaruan keamanan untuk mengatasi kerentanan ini, yang perlu segera diinstal oleh pengguna, dan merekomendasikan untuk mematikan semua sesi aktif dan yang tetap berlanjut untuk menangani masalah ini sepenuhnya, karena sesi yang sudah disusupi bisa bertahan meskipun pembaruan sudah diterapkan. Berbagai pihak yang berpotensi membahayakan, termasuk kelompok ransomware, telah memanfaatkan kerentanan ini dan menargetkan perangkat NetScaler ADC dan Gateway yang dapat diakses melalui internet. Mandiant telah mengamati serangan terhadap pemerintah, layanan hukum dan profesional, serta organisasi teknologi di wilayah Amerika, EMEA, dan APAC. Oleh karena itu, organisasi disarankan untuk segera memasang pembaruan keamanan yang tersedia dan kemudian mematikan semua sesi yang masih aktif dan berlanjut untuk mengatasi masalah ini secara menyeluruh, karena sesi yang sudah disusupi dapat bertahan melalui patch.

Serangan yang sedang berlangsung

Mandiant menyatakan bahwa kurangnya pencatatan log yang menyeluruh pada perangkat ini membuat penyelidikan terhadap eksploitasi CVE-2023-3966 menjadi lebih sulit. Untuk mengatasi tantangan ini, sangat penting untuk memanfaatkan firewall aplikasi web (WAF) dan alat pemantauan lalu lintas jaringan lainnya yang dapat mencatat lalu lintas dan mengidentifikasi apakah perangkat telah disusupi. Dengan kata lain, tanpa adanya pemantauan seperti ini sebelum terjadinya serangan, analisis sejarah menjadi tidak mungkin dilakukan, dan para peneliti hanya dapat mengamati kejadian secara waktu nyata.

Selain itu, setelah serangan terjadi, para pelaku ancaman tetap berusaha menyelinap dengan mengadopsi teknik yang terlihat seperti bagian dari rutinitas harian, seperti menggunakan alat administratif yang umum seperti net.exe dan netscan.exe. Mandiant telah berhasil mengenali usaha eksploitasi dan peretasan sesi dengan memfokuskan perhatian pada beberapa jalur utama:

  • Penganalisisan permintaan oleh WAF: Alat WAF dapat mencatat permintaan yang dikirimkan ke titik akhir yang memiliki kerentanan, sehingga memberikan sumber data yang penting.
  • Pemantauan pola login: Mengawasi perbedaan alamat IP klien dan sumber, serta mengidentifikasi beberapa sesi yang berasal dari alamat IP yang sama yang tercatat dalam file ns.log, bisa menjadi tanda adanya kemungkinan akses ilegal.
Sumber : Contoh ketidakcocokan IP (Mandiant)
  • Korelasi Registri Windows: Dengan menghubungkan entri Registri Windows pada sistem Citrix VDA dengan data ns.log, asal usul penyerang bisa diidentifikasi.
  • Inspeksi dump memori: Melakukan analisis pada file dump inti memori dari proses NSPPE untuk mencari string yang tidak umum dengan karakter berulang bisa membantu dalam mengenali percobaan eksploitasi.
Sumber : Contoh respons terhadap permintaan eksploitasi (Mandiant)
Tujuan Serangan

Setelah eksploitasi CVE-2023-4966, penyerang melanjutkan dengan pengintaian jaringan, yang melibatkan pencurian kredensial akun dan pergerakan lateral melalui Remote Desktop Protocol (RDP).

Selama fase ini, pelaku ancaman menggunakan berbagai alat, termasuk:

  1. net.exe – Digunakan untuk pengintaian Direktori Aktif (AD).
  2. netscan.exe – Digunakan untuk enumerasi jaringan internal.
  3. 7-zip – Digunakan untuk membuat arsip tersegmentasi terenkripsi untuk mengompresi data pengintaian.
  4. certutil – Digunakan untuk menyandikan (base64) dan mendekode file data serta menerapkan pintu belakang.
  5. e.exe dan d.dll – Dimuat ke dalam memori proses LSASS untuk membuat file dump memori.
  6. sh3.exe – Menjalankan perintah Mimikatz LSADUMP untuk ekstraksi kredensial.
  7. FREEFIRE – Pintu belakang .NET ringan baru yang menggunakan Slack untuk perintah dan kontrol.
  8. Atera – Digunakan untuk pemantauan dan manajemen jarak jauh.
  9. AnyDesk – Digunakan untuk akses desktop jarak jauh.
  10. SplashTop – Digunakan untuk akses desktop jarak jauh.

Walaupun banyak dari alat-alat ini biasanya ada di lingkungan perusahaan, penggunaannya bersama-sama mungkin menandakan adanya indikasi kompromi, dan keberadaan alat-alat seperti FREEFIRE adalah petunjuk yang jelas bahwa ada pelanggaran keamanan yang telah terjadi. Para peneliti juga telah merilis aturan Yara yang dapat digunakan untuk mendeteksi keberadaan FREEFIRE di suatu perangkat.

Mandiant mencatat bahwa dalam berbagai kampanye, empat kelompok pelaku ancaman yang memanfaatkan CVE-2023-4966 menunjukkan beberapa tumpang tindih dalam tahap pasca-eksploitasi. Keempat kelompok ini sering menggunakan alat seperti csvde.exe, certutil.exe, local.exe, dan nbtscan.exe, dan dua kelompok aktivitas juga terdeteksi menggunakan Mimikatz. Perlu diingat bahwa hanya menginstal pembaruan keamanan yang tersedia tidak akan mengatasi pelanggaran yang sudah ada, sehingga diperlukan respons insiden yang komprehensif.

Sumber :

https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/
https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966
https://www.tenable.com/blog/cve-2023-4966-citrix-netscaler-adc-and-netscaler-gateway-information-disclosure-exploited-in
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-289a
https://www.securityweek.com/mass-exploitation-of-citrix-bleed-vulnerability-underway/
https://www.rapid7.com/blog/post/2023/10/25/etr-cve-2023-4966-exploitation-of-citrix-netscaler-information-disclosure-vulnerability/
https://www.esecurityplanet.com/trends/weekly-vulnerability-recap-october-30-2023/
https://www.intruder.io/blog/how-bad-is-the-citrixbleed-vulnerability-cve-2023-4966
https://arstechnica.com/security/2023/10/critical-citrix-bleed-vulnerability-allowing-mfa-bypass-comes-under-mass-exploitation/
https://www.malwarebytes.com/blog/news/2023/07/citrix-netscaler-vulnerability-added-to-known-to-be-exploited-catalog/amp