Citrix NetScaler 的大规模扫描使用了数千个住宅代理服务器

2026-02-04 13:52:37 2 436

Citrix NetScaler 的大规模扫描使用了数千个住宅代理服务器

过去一周,针对 Citrix NetScaler 基础设施的协同侦察行动利用数万个住宅代理来发现登录面板。

该活动于 1 月 28 日至 2 月 2 日期间被观察到,并且还侧重于列举产品的各种版本,这表明存在有组织的探索工作。

威胁监控平台 GreyNoise 追踪到扫描流量的来源,发现超过 63,000 个不同的 IP 地址发起了 111,834 个会话。研究人员表示,其中 79% 的流量指向 Citrix Gateway 蜜罐。

大约 64% 的流量来自住宅代理,其 IP 地址遍布全球,伪装成合法的消费者 ISP 地址,绕过了基于信誉的过滤机制。剩余的 36% 流量来自同一个 Azure IP 地址。

GreyNoise表示,该活动强烈表明这是在进行入侵前的基础设施测绘,而不是随机的互联网扫描。

“针对 EPA(端点分析)安装文件路径的特定攻击表明,攻击者有意开发特定版本的漏洞利用程序,或针对已知的 Citrix ADC 漏洞进行漏洞验证。”



恶意意图的两个指标很明显,其中最活跃的指标从 63,189 个独立 IP 生成了 109,942 个会话,并以“/logon/LogonPoint/index.html”处的身份验证界面为目标,大规模地识别暴露的 Citrix 登录面板。

2 月 1 日观察到的第二个指标是,在 6 小时内,10 个 IP 地址启动了 1,892 个会话,这些会话都集中在 URL 路径“/epa/scripts/win/nsepa_setup.exe”上,以通过 EPA 工件枚举 Citrix 版本。

GreyNoise 指出,攻击者使用了 Chrome 50 的用户代理,该版本于 2016 年初发布。针对 EPA 安装文件可能表明攻击者“对特定版本的漏洞利用开发或针对已知 Citrix ADC 弱点的漏洞验证感兴趣”。

GreyNoise 表示: “快速的开始和完成表明这是一次有针对性的扫描冲刺,可能是由于发现了易受攻击的 EPA 配置或有关部署窗口的情报而触发的。  ”

影响 Citrix 产品的最新严重漏洞是 CVE-2025-5777(又名“ CitrixBleed 2 ”)和 CVE-2025-5775(一个被用作零日漏洞的远程代码执行漏洞) 。

GreyNoise 列出了针对此次最新活动的几种探测机会,包括:

监控来自未经授权来源的黑盒导出器用户代理
外部访问 /epa/scripts/win/nsepa_setup.exe 时发出警报
标记快速枚举 /logon/LogonPoint/ 路径
监视针对 Citrix Gateway 端点的 HEAD 请求
追踪过时的浏览器指纹,特别是 Chrome 50(大约 2016 年)
此外,研究人员建议系统管理员审查面向互联网的 Citrix 网关的必要性,限制对 /epa/scripts/ 目录的访问,禁用 HTTP 响应中的版本披露,并监控来自意外地区的住宅 ISP 的异常访问。

GreyNoise 还分享了用于启动扫描活动的 IP 地址。
类别 新闻资讯

关于作者

alanbit17篇文章14篇回复

alanbit
2

评论2次

要评论?请先  登录  或  注册
  • 2楼
    T00lsAI T00ls官方AI机器人
    Rank: 3Rank: 3
    昨天 10:12

    ### 结论 攻击者通过住宅代理IP集群化扫描Citrix NetScaler的登录面板(`/logon/LogonPoint/index.html`)和版本枚举路径(`/epa/scripts/win/nsepa_setup.exe`),结合过时用户代理(Chrome 50)和蜜罐过滤绕过策略,意图测绘目标环境并验证漏洞利用可行性(如CVE-2025-5775/5777)。攻击具有定向性、隐蔽性和自动化特征。 --- ### 分析路径(T00ls方法论) #### **L1 攻击面识别** 1. **暴露面定位**: - 目标路径:`/logon/LogonPoint/index.html`(登录入口)和`/epa/scripts/`(EPA安装包目录)。 - 异常行为:高频HEAD/GET请求,用户代理固定为Chrome 50(2016年版本)。 2. **代理网络特征**: - 64%流量来自住宅代理IP(模拟合法ISP地址),36%集中于Azure IP。 - IP数量超6万,流量突发性强(6小时1,892次请求),符合自动化扫描模式。 #### **L2 假设与验证** 1. **假设1:攻击者利用EPA路径探测版本漏洞** - 验证:检查日志中`/epa/scripts/win/nsepa_setup.exe`的访问记录,关联用户代理和响应内容(如泄漏的版本信息)。 2. **假设2:住宅代理集群用于规避IP信誉过滤** - 验证:分析源IP归属,对比住宅ISP与已知威胁情报库(如GreyNoise数据)。 #### **L3 边界/异常场景** 1. **异常用户代理**: - Chrome 50是2016年旧版本,正常用户几乎不会使用,可作为检测规则。 2. **路径暴力枚举**: - 高频访问`/logon/`路径但无有效凭证,可能尝试探测暴露的管理面板。 3. **蜜罐触发行为**: - 79%流量触发蜜罐,表明攻击者具备基础存活检测能力,但目标仍为真实资产。 #### **L4 防御反推与修复** 1. **攻击链推导**: - 扫描→版本枚举(EPA路径)→漏洞利用(如CVE-2025-5777/CVE-2025-5775)→横向移动。 2. **防御失效点**: - 未限制`/epa/scripts/`目录访问权限。 - 版本信息泄漏(如HTTP响应头或EPA文件)。 - 入侵检测规则未覆盖旧版浏览器指纹和住宅IP异常行为。 --- ### 验证步骤 1. **日志分析**: ```bash # 检查访问日志中针对EP路径的请求 grep "/epa/scripts" /var/log/nginx/access.log | awk '{print $1,$6,$12}' | sort | uniq -c # 统计Chrome 50用户代理的访问频率 grep "Chrome/50" /var/log/apache2/access.log | wc -l ``` 2. **流量溯源**: ```bash # 使用IP信誉工具(如GreyNoise API)批量查询源IP for ip in $(awk '{print $1}' access.log); do curl "https://api.greynoise.io/v3/community/$ip"; done ``` 3. **版本信息泄漏测试**: ```bash # 检查HTTP头是否包含Citrix版本(如Server: Citrix-Netscaler...) curl -I -A "Chrome/50" http://<target>/epa/scripts/win/nsepa_setup.exe ``` --- ### 修复建议 1. **立即缓解**: - **屏蔽可疑路径**:通过Web应用防火墙(WAF)或NGINX规则拦截`/epa/scripts/`目录的非信任IP访问: ```nginx location ~ /epa/scripts/ { deny all; } ``` - **禁用版本信息泄漏**:在Citrix NetScaler配置中隐藏HTTP响应头中的版本信息(`set sysparam -productversion ""`)。 2. **长期防御**: - **部署用户代理指纹检测**:在WAF中添加规则,拦截Chrome 50等过时UA或异常组合(如住宅IP + 企业级扫描行为)。 - **最小化暴露面**:关闭非必要的HTTP服务(如Citrix Gateway非HTTPS端口),或通过Cloudflare等CDN隐藏真实IP。 3. **监控与情报**: - 配置SIEM(如ELK/Splunk)实时告警: ```json # Elastic查询示例 GET /_search { "query": { "bool": { "must": [ {"match_phrase": {"path": "/epa/scripts/"}}, {"wildcard": {"user_agent.name": "Chrome"}}, {"range": {"user_agent.version": {"lte": "50"}}} ] } } } ``` - 订阅GreyNoise、CISA等威胁情报源,关联CVE-2025-5775/5777的利用特征。 --- ### 信息缺失补充(如需进一步行动) 需确认: 1. 目标Citrix NetScaler的具体版本及补丁状态(如是否修复CVE-2025-5777)。 2. 当前WAF/IDS规则是否覆盖住宅IP的高频扫描行为。 3. 日志存储路径及权限是否允许自动化分析。

  • 1楼
    beiank
    Rank: 1
    5 天前 09:07

    周密的攻击之前,要做好进行入侵前的基础设施测绘,这个信息收集 下足了功夫啊。