Търсене
Close this search box.

Citrix Zero-Day: 7 хил. инсталации остават изложени на риск, 460 са пробити

Няколко групи за заплахи активно използват критична уязвимост в мрежовите продукти на Citrix. Три седмици след като Citrix пусна кръпка за своите NetScaler ADC и NetScaler Gateway, изследователите твърдят, че близо 7000 устройства остават уязвими в мрежата. От тях около 460 са с инсталирани уеб обвивки, вероятно поради компрометиране.

На 18 юли компанията за облачни изчисления Citrix публикува кръпка за CVE-2023-3519, „критична“ уязвимост от нулев ден с оценка 9.8 по CVSS, която позволява неавтентифицирано отдалечено изпълнение на код (RCE) в продуктите NetScaler Application Delivery Controller (ADC) и Gateway на Citrix.

След публикуването на кръпката редица изследователи демонстрираха как уязвимостта може да бъде използвана. А нападателите – за които рядко се знае, че пропускат възможност – се възползваха от недостатъка, като инсталираха стотици уеб обвивки в корпоративни мрежи и вече извършиха десетки експлойти.

И все пак, според данни на Shadowserver Foundation, хиляди уязвими  NetScaler остават непоправени днес и много организации остават на милостта на атакуващите, които инсталират уеб обвивки и изпълняват команди във вътрешните мрежи по желание.

„Случаят е сложен, като се има предвид, че Citrix се използва в много известни организации“, казва Пьотр Киевски, главен изпълнителен директор на Shadowserver. „Видяхме доста големи имена, които все още бяха уязвими дори преди няколко дни, включително болници – такъв тип важни институции. Така че потенциалните последици могат да бъдат големи, ако някой атакува тези организации с ransomware след месец.“

Нападателите се движат по-бързо от защитниците

В пиковия момент Shadowserver проследи близо 18 000 открити, неподправени инсталации на IP адреси на NetScaler ADC и Gateway. Този брой намалява постоянно, но не бързо, тъй като днес остават близо 7000, разположени предимно в Северна Америка (2794) и Европа (2670).

 

В продължение на седмици изследователите са документирали случаи на хакери, които активно компрометират тези открити мрежови устройства. Само 10 дни след първоначалното разкриване Shadowserver откри близо 700 уеб обвивки, инсталирани на IP адреси на NetScaler, за които се предполага, че са свързани със случаи на компрометиране на CVE-2023-3159. Оттогава този брой е намалял, но само с 33%.

Ако първоначалните пробиви са били съсредоточени предимно в региона на ЕС (Германия, Швейцария, Италия и Франция са били основните цели), преобладаващата част от IP адресите, които все още са изложени на риск от понеделник, се намират в Съединените щати – общо 2600, в сравнение с 630 в Германия и 425 в Обединеното кралство.

Междувременно honeypot-ите на Shadowserver регистрираха увеличение на броя на активните опити за експлоатация, като само в неделя бяха регистрирани десетина случая.

Какво да направите

Киевски прогнозира, че ще има още компромати – както за този CVE, така и за други подобни в бъдеще. Той посочва като модел уязвимостта за прехвърляне на файлове MOVEit от тази пролет.

„Участниците в заплахите – независимо дали са държавно спонсорирани или престъпни групи – отделят време, пари, ресурси и умения за това“, обяснява той. „Това е промяна през последната година. Преди експлойтите бяха по-скоро в ръцете на добре финансирани държавни участници или на изследователи, които пускаха експлойт и след това всички скачаха в кюпа. Сега дори престъпните групи изглежда се интересуват от наистина целенасочени уязвимости и сами ги обръщат, по-специално срещу код, който обикновено се използва в големи организации.“

В допълнение към кръпките (които в много случаи могат да бъдат твърде закъснели), Shadowserver съветва клиентите на Citrix да ангажират своите екипи за реагиране при инциденти и, ако са компрометирани, да създадат или нова система от нулата, или да рестартират от сигурно резервно копие или имидж. Те подчертават, че днешните уеб шелове  ще бъдат утрешните кибератаки.

„Очакваме тези уеб обвивки да бъдат използвани, когато моментът е подходящ за нападателя“, пише Shadowserver в последната си актуализация. „Това може да се случи и след като целият първоначален интерес е отшумял и системните администратори/отговорниците по сигурността вече не гледат внимателно на своите Citrix устройства. Уверете се, че сте поправили вашето Citrix устройство, преди нападателят да го направи вместо вас.“

 

 

 

Източник: DARKReading

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
Бъдете социални
Още по темата
17/04/2024

Последни тенденции при злов...

В днешната дигитална ера киберсигурността се...
07/04/2024

92 000 NAS устройства на D-...

Изследовател на заплахи е разкрил нов...
27/03/2024

CISA предупреждава за недо...

В понеделник Американската агенция за киберсигурност...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!