黑客給思傑伺服器打補丁:為的是保持獨家訪問權
FireEye認為,這是不法分子在伺機攻擊思傑伺服器。
本周針對思傑設備的攻擊已愈演愈烈,現在多個威脅攻擊者已加入進來、發動攻擊,企圖攻擊公司網路、政府伺服器或公共機構等高價值目標。
FireEye公司在今天發表的一份文章中稱,在過去這周一直密切關注的所有攻擊動靜中,它發現了一個攻擊者顯得與眾不同。
這個特別的威脅攻擊者從Tor節點後面攻擊思傑伺服器,並部署了一個新的有效載荷(payload),FireEye團隊稱之為FireRoye。
FireEye稱,NotRobin有雙重目的。首先,它充當進入已中招的思傑設備的後門。其次,它的工作方式類似防病毒軟體,即刪除設備上發現的其他惡意軟體,防止其他攻擊者將新的有效負載部署到易受攻擊的思傑主機上。
目前尚不清楚NotRobin攻擊者是好人還是壞人,因為在已中招的思傑系統上除了NotRobin有效載荷外沒有部署另外的惡意軟體。
然而,FireEye的專家傾向於將其列為壞人。他們在文章中稱,他們認為該攻擊者可能在「為隨後的攻擊活動悄悄地收集訪問NetScaler設備的渠道。」
思傑漏洞和補丁失敗
最近針對思傑伺服器的所有攻擊都在鑽CVE-2019-19781的空子,思傑應用程序交付控制器(ADC,之前名為NetScaler ADC)和思傑網關(之前名為NetScaler Gateway)曝出了這個漏洞。
CVE-2019-19781漏洞是如今受攻擊最頻繁的安全漏洞之一,原因有三點。
首先,思傑ADC和思傑網關設備在企業界非常流行,因此為攻擊者提供了大好的攻擊途徑。
其次,該漏洞很容易被人鑽空子,只需要很少的技術技能。
第三,概念驗證漏洞攻擊代碼已在上周末發布,這為更多的黑客團伙放低了准入門檻。
自周末以來,對易受攻擊的思傑設備的掃描以及大肆鑽空子的活動已泛濫成災。
荷蘭政府:除非補丁已準備好,否則關閉思傑系統
說到處理這個安全漏洞,思傑簡直可以說撒手不管。
去年該公司就接到了有關該問題的通知,可是到12月份,Positive Technologies在博客上披露有關該漏洞的詳細信息時,思傑措手不及,沒有為客戶準備好補丁。
思傑而是發布了緩解措施,建議思傑設備用戶可以採取緩解措施來保護其伺服器。遺憾的是,建議的這個緩解措施對所有思傑版本而言並未起到應有的效果,一些版本仍易受攻擊。
昨天,荷蘭國家網路安全管理局(NCSC)開始建議運行思傑ADC或NetScaler Gateway伺服器的公司和政府機構關閉系統,直到正式補丁已準備好,提到「對緩解措施的效果不確定。」
荷蘭的NCSC在思傑問題上可能有點敏感,因為在該國已至少發生了兩起由被攻擊的思傑系統引起的重大安全事件,一起發生在Ziekenhuis Leeuwarden醫院,另一起發生在聚特芬市(Zutphen)的網路。在這兩起安全事件中,受害者都不得將整個網路關閉了數日,以應對入侵。
IT外媒ZDNet昨天聯繫思傑就NCSC的建議有何評論時,思傑堅持採取其緩解措施的立場。
思傑首席信息安全官Fermin Serna告訴ZDNet:「我們發布的緩解措施適用於我們軟體的所有受支持版本,包含旨在在所有已知情況下阻止潛在攻擊的詳細步驟。但必須遵循所有步驟。」
「我們繼續建議我們的客戶立即採取緩解措施,並在第一時間打上永久性修復程序。」
預計思傑會在本月底前發布針對CVE-2019-19781漏洞的補丁。在此期間,思傑設備用戶可以採取思傑的臨時緩解措施,也可以聽取NCSC的建議,關閉設備、直到永久性修復程序已準備好。
