Kampanye pengintaian terkoordinasi yang menargetkan infrastruktur Citrix NetScaler selama seminggu terakhir menggunakan puluhan ribu proxy perumahan untuk menemukan panel login.
Aktivitas tersebut diamati antara tanggal 28 Januari dan 2 Februari, dan juga berfokus pada penghitungan versi produk, yang menunjukkan upaya penemuan yang terorganisir.
Platform pemantauan ancaman GreyNoise menelusuri sumber lalu lintas pemindaian ke lebih dari 63.000 IP berbeda yang meluncurkan 111.834 sesi. Menurut para peneliti, 79% lalu lintas ditujukan ke honeypot Citrix Gateway.
Sekitar 64% lalu lintas berasal dari proxy perumahan, dengan IP tersebar di seluruh dunia, muncul sebagai alamat ISP konsumen yang sah dan melewati pemfilteran berbasis reputasi. 36% sisanya berasal dari satu alamat IP Azure.
Aktivitas tersebut sangat mengindikasikan pemetaan infrastruktur pra-eksploitasi, bukan pemindaian internet secara acak, kata GreyNoise.
“Penargetan spesifik EPA [Endpoint Analysis] jalur file setup menunjukkan minat dalam pengembangan eksploitasi versi spesifik atau validasi kerentanan terhadap kelemahan Citrix ADC yang diketahui.”
Sumber: GreyNoise
Dua indikator niat jahat terlihat jelas, dengan yang paling aktif menghasilkan 109.942 sesi dari 63.189 IP unik dan menargetkan antarmuka autentikasi di ‘/logon/LogonPoint/index.html’ untuk mengidentifikasi panel login Citrix yang terbuka dalam skala besar.
Indikator kedua, yang diamati pada tanggal 1 Februari, adalah sprint enam jam dengan 10 IP meluncurkan 1.892 sesi yang berfokus pada jalur URL ‘/epa/scripts/win/nsepa_setup.exe’ untuk menghitung versi Citrix melalui artefak EPA.
GreyNoise mencatat bahwa penyerang menggunakan agen pengguna untuk Chrome 50, yang dirilis pada awal tahun 2016. Menargetkan file penyiapan EPA mungkin menunjukkan “ketertarikan pada pengembangan eksploitasi khusus versi atau validasi kerentanan terhadap kelemahan Citrix ADC yang diketahui.”
“Permulaan dan penyelesaian yang cepat menunjukkan adanya sprint pemindaian yang ditargetkan yang mungkin dipicu oleh penemuan konfigurasi EPA yang rentan atau intelijen tentang jendela penerapan,” kata GreyNoise.
Kelemahan kritis terbaru yang berdampak pada produk Citrix adalah CVE-2025-5777, alias ‘CitrixBleed 2,’ dan CVE-2025-5775, kerentanan eksekusi kode jarak jauh dieksploitasi sebagai zero-day.
GreyNoise mencantumkan beberapa peluang deteksi untuk aktivitas terbaru ini, termasuk:
- Pemantauan terhadap agen pengguna blackbox-eksportir yang berasal dari sumber tidak resmi
- Peringatan tentang akses eksternal ke /epa/scripts/win/nsepa_setup.exe
- Menandai penghitungan cepat jalur /logon/LogonPoint/
- Mengamati permintaan HEAD terhadap titik akhir Citrix Gateway
- Melacak sidik jari browser yang sudah ketinggalan zaman, khususnya Chrome 50 (sekitar tahun 2016)
Selain itu, para peneliti merekomendasikan agar administrator sistem meninjau kebutuhan Citrix Gateway yang terhubung ke internet, membatasi akses ke direktori /epa/scripts/, menonaktifkan pengungkapan versi dalam respons HTTP, dan memantau akses anomali dari ISP perumahan di wilayah yang tidak terduga.
GreyNoise juga telah membagikan alamat IP yang digunakan untuk meluncurkan aktivitas pemindaian.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
