Няколко групи за заплахи активно използват критична уязвимост в мрежовите продукти на Citrix. Три седмици след като Citrix пусна кръпка за своите NetScaler ADC и NetScaler Gateway, изследователите твърдят, че близо 7000 устройства остават уязвими в мрежата. От тях около 460 са с инсталирани уеб обвивки, вероятно поради компрометиране.
На 18 юли компанията за облачни изчисления Citrix публикува кръпка за CVE-2023-3519, „критична“ уязвимост от нулев ден с оценка 9.8 по CVSS, която позволява неавтентифицирано отдалечено изпълнение на код (RCE) в продуктите NetScaler Application Delivery Controller (ADC) и Gateway на Citrix.
След публикуването на кръпката редица изследователи демонстрираха как уязвимостта може да бъде използвана. А нападателите – за които рядко се знае, че пропускат възможност – се възползваха от недостатъка, като инсталираха стотици уеб обвивки в корпоративни мрежи и вече извършиха десетки експлойти.
И все пак, според данни на Shadowserver Foundation, хиляди уязвими NetScaler остават непоправени днес и много организации остават на милостта на атакуващите, които инсталират уеб обвивки и изпълняват команди във вътрешните мрежи по желание.
„Случаят е сложен, като се има предвид, че Citrix се използва в много известни организации“, казва Пьотр Киевски, главен изпълнителен директор на Shadowserver. „Видяхме доста големи имена, които все още бяха уязвими дори преди няколко дни, включително болници – такъв тип важни институции. Така че потенциалните последици могат да бъдат големи, ако някой атакува тези организации с ransomware след месец.“
В пиковия момент Shadowserver проследи близо 18 000 открити, неподправени инсталации на IP адреси на NetScaler ADC и Gateway. Този брой намалява постоянно, но не бързо, тъй като днес остават близо 7000, разположени предимно в Северна Америка (2794) и Европа (2670).
В продължение на седмици изследователите са документирали случаи на хакери, които активно компрометират тези открити мрежови устройства. Само 10 дни след първоначалното разкриване Shadowserver откри близо 700 уеб обвивки, инсталирани на IP адреси на NetScaler, за които се предполага, че са свързани със случаи на компрометиране на CVE-2023-3159. Оттогава този брой е намалял, но само с 33%.
Ако първоначалните пробиви са били съсредоточени предимно в региона на ЕС (Германия, Швейцария, Италия и Франция са били основните цели), преобладаващата част от IP адресите, които все още са изложени на риск от понеделник, се намират в Съединените щати – общо 2600, в сравнение с 630 в Германия и 425 в Обединеното кралство.
Междувременно honeypot-ите на Shadowserver регистрираха увеличение на броя на активните опити за експлоатация, като само в неделя бяха регистрирани десетина случая.
Киевски прогнозира, че ще има още компромати – както за този CVE, така и за други подобни в бъдеще. Той посочва като модел уязвимостта за прехвърляне на файлове MOVEit от тази пролет.
„Участниците в заплахите – независимо дали са държавно спонсорирани или престъпни групи – отделят време, пари, ресурси и умения за това“, обяснява той. „Това е промяна през последната година. Преди експлойтите бяха по-скоро в ръцете на добре финансирани държавни участници или на изследователи, които пускаха експлойт и след това всички скачаха в кюпа. Сега дори престъпните групи изглежда се интересуват от наистина целенасочени уязвимости и сами ги обръщат, по-специално срещу код, който обикновено се използва в големи организации.“
В допълнение към кръпките (които в много случаи могат да бъдат твърде закъснели), Shadowserver съветва клиентите на Citrix да ангажират своите екипи за реагиране при инциденти и, ако са компрометирани, да създадат или нова система от нулата, или да рестартират от сигурно резервно копие или имидж. Те подчертават, че днешните уеб шелове ще бъдат утрешните кибератаки.
„Очакваме тези уеб обвивки да бъдат използвани, когато моментът е подходящ за нападателя“, пише Shadowserver в последната си актуализация. „Това може да се случи и след като целият първоначален интерес е отшумял и системните администратори/отговорниците по сигурността вече не гледат внимателно на своите Citrix устройства. Уверете се, че сте поправили вашето Citrix устройство, преди нападателят да го направи вместо вас.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.