Търсене
Close this search box.

Няколко групи за заплахи активно използват критична уязвимост в мрежовите продукти на Citrix. Три седмици след като Citrix пусна кръпка за своите NetScaler ADC и NetScaler Gateway, изследователите твърдят, че близо 7000 устройства остават уязвими в мрежата. От тях около 460 са с инсталирани уеб обвивки, вероятно поради компрометиране.

На 18 юли компанията за облачни изчисления Citrix публикува кръпка за CVE-2023-3519, „критична“ уязвимост от нулев ден с оценка 9.8 по CVSS, която позволява неавтентифицирано отдалечено изпълнение на код (RCE) в продуктите NetScaler Application Delivery Controller (ADC) и Gateway на Citrix.

След публикуването на кръпката редица изследователи демонстрираха как уязвимостта може да бъде използвана. А нападателите – за които рядко се знае, че пропускат възможност – се възползваха от недостатъка, като инсталираха стотици уеб обвивки в корпоративни мрежи и вече извършиха десетки експлойти.

И все пак, според данни на Shadowserver Foundation, хиляди уязвими  NetScaler остават непоправени днес и много организации остават на милостта на атакуващите, които инсталират уеб обвивки и изпълняват команди във вътрешните мрежи по желание.

„Случаят е сложен, като се има предвид, че Citrix се използва в много известни организации“, казва Пьотр Киевски, главен изпълнителен директор на Shadowserver. „Видяхме доста големи имена, които все още бяха уязвими дори преди няколко дни, включително болници – такъв тип важни институции. Така че потенциалните последици могат да бъдат големи, ако някой атакува тези организации с ransomware след месец.“

Нападателите се движат по-бързо от защитниците

В пиковия момент Shadowserver проследи близо 18 000 открити, неподправени инсталации на IP адреси на NetScaler ADC и Gateway. Този брой намалява постоянно, но не бързо, тъй като днес остават близо 7000, разположени предимно в Северна Америка (2794) и Европа (2670).

 

В продължение на седмици изследователите са документирали случаи на хакери, които активно компрометират тези открити мрежови устройства. Само 10 дни след първоначалното разкриване Shadowserver откри близо 700 уеб обвивки, инсталирани на IP адреси на NetScaler, за които се предполага, че са свързани със случаи на компрометиране на CVE-2023-3159. Оттогава този брой е намалял, но само с 33%.

Ако първоначалните пробиви са били съсредоточени предимно в региона на ЕС (Германия, Швейцария, Италия и Франция са били основните цели), преобладаващата част от IP адресите, които все още са изложени на риск от понеделник, се намират в Съединените щати – общо 2600, в сравнение с 630 в Германия и 425 в Обединеното кралство.

Междувременно honeypot-ите на Shadowserver регистрираха увеличение на броя на активните опити за експлоатация, като само в неделя бяха регистрирани десетина случая.

Какво да направите

Киевски прогнозира, че ще има още компромати – както за този CVE, така и за други подобни в бъдеще. Той посочва като модел уязвимостта за прехвърляне на файлове MOVEit от тази пролет.

„Участниците в заплахите – независимо дали са държавно спонсорирани или престъпни групи – отделят време, пари, ресурси и умения за това“, обяснява той. „Това е промяна през последната година. Преди експлойтите бяха по-скоро в ръцете на добре финансирани държавни участници или на изследователи, които пускаха експлойт и след това всички скачаха в кюпа. Сега дори престъпните групи изглежда се интересуват от наистина целенасочени уязвимости и сами ги обръщат, по-специално срещу код, който обикновено се използва в големи организации.“

В допълнение към кръпките (които в много случаи могат да бъдат твърде закъснели), Shadowserver съветва клиентите на Citrix да ангажират своите екипи за реагиране при инциденти и, ако са компрометирани, да създадат или нова система от нулата, или да рестартират от сигурно резервно копие или имидж. Те подчертават, че днешните уеб шелове  ще бъдат утрешните кибератаки.

„Очакваме тези уеб обвивки да бъдат използвани, когато моментът е подходящ за нападателя“, пише Shadowserver в последната си актуализация. „Това може да се случи и след като целият първоначален интерес е отшумял и системните администратори/отговорниците по сигурността вече не гледат внимателно на своите Citrix устройства. Уверете се, че сте поправили вашето Citrix устройство, преди нападателят да го направи вместо вас.“

 

 

 

Източник: DARKReading

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
Бъдете социални
Още по темата
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

SonicWall поправя 6 уязвимо...

В края на миналата седмица SonicWall...
04/12/2024

Япония предупреждава за 0-D...

Японската служба CERT предупреждава, че хакери...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!