Скоординированная разведывательная кампания, направленная на инфраструктуру Citrix NetScaler на прошлой неделе, использовала десятки тысяч резидентных прокси для обнаружения панелей входа.
Активность наблюдалась с 28 января по 2 февраля, она также была сосредоточена на перечислении версий продукта, что указывает на организованные усилия по обнаружению.
Платформа мониторинга угроз GreyNoise отследила источник сканирующего трафика до более чем 63 000 уникальных IP-адресов, которые инициировали 111 834 сессий. По данным исследователей, 79% трафика было направлено на honeypots Citrix Gateway.
Примерно 64% трафика поступило от резидентных прокси, IP-адреса которых были распределены по всему миру, выдавая себя за легитимные адреса потребительских интернет-провайдеров и обходя фильтрацию на основе репутации. Оставшиеся 36% поступили с одного IP-адреса Azure.
GreyNoise утверждает, что эта активность убедительно свидетельствует о картографировании инфраструктуры перед эксплуатацией, а не о случайном сканировании интернета.
“Конкретное нацеливание на установочный файл EPA [Endpoint Analysis] предполагает интерес к разработке эксплойтов для конкретных версий или проверке уязвимостей против известных слабых мест Citrix ADC”.
Два индикатора злого умысла очевидны: наиболее активный из них сгенерировал 109 942 сессий с 63 189 уникальных IP-адресов и нацелился на интерфейс аутентификации по адресу ‘/logon/LogonPoint/index.html’ для масштабного выявления уязвимых панелей входа Citrix.
Второй индикатор, наблюдавшийся 1 февраля, представлял собой шестичасовой спринт, в ходе которого 10 IP-адресов инициировали 1 892 сессий, сосредоточенных на пути URL ‘/epa/scripts/win/nsepa_setup.exe’ для перечисления версий Citrix через артефакты EPA.
GreyNoise отмечает, что злоумышленник использовал user agent для Chrome 50, выпущенного в начале 2016 года. Нацеливание на установочный файл EPA может указывать на “интерес к разработке эксплойтов для конкретных версий или проверке уязвимостей против известных слабых мест Citrix ADC”.
“Быстрое начало и завершение предполагают целенаправленный сканирующий спринт, который мог быть вызван обнаружением уязвимых конфигураций EPA или информацией о временных окнах развертывания”, — сообщает GreyNoise.
Наиболее свежие критические уязвимости, затрагивающие продукты Citrix, — это CVE-2025-5777, известная как ‘CitrixBleed 2’, и CVE-2025-5775, уязвимость удаленного выполнения кода, которая была использована как уязвимость нулевого дня.
GreyNoise перечисляет несколько возможностей для обнаружения этой последней активности, включая:
- Мониторинг user agent blackbox-exporter, исходящего из неавторизованных источников
- Оповещение о внешнем доступе к /epa/scripts/win/nsepa_setup.exe
- Пометка быстрого перечисления путей /logon/LogonPoint/
- Отслеживание запросов HEAD к конечным точкам Citrix Gateway
- Отслеживание устаревших отпечатков браузера, в частности Chrome 50 (примерно 2016 г.)
Кроме того, исследователи рекомендуют системным администраторам пересмотреть необходимость использования Citrix Gateways, доступных из интернета, ограничить доступ к каталогу /epa/scripts/, отключить раскрытие версий в HTTP-ответах и отслеживать аномальный доступ от резидентных интернет-провайдеров из неожиданных регионов.
GreyNoise также предоставила IP-адреса, использованные для проведения сканирующей активности.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
