Над 640 сървъра на Citrix са компрометирани, България също е на картата с пробиви

Стотици сървъри на Citrix Netscaler ADC и Gateway вече са били пробити и заобиколени в поредица от атаки, насочени към критична уязвимост с отдалечено изпълнение на код (RCE), проследена като CVE-2023-3519.

Преди това уязвимостта е била използвана като нулев ден за пробив в мрежата на организация от критичната инфраструктура на САЩ.

Изследователи по сигурността от Shadowserver Foundation, организация с нестопанска цел, която се занимава с повишаване на сигурността в интернет, сега разкриха, че при тези атаки нападателите са разположили уеб обвивки на поне 640 сървъра Citrix.

„Можем да кажем, че това е доста стандартен China Chopper, но не искаме да разкриваме повече при тези обстоятелства. Мога да кажа, че количеството, което откриваме, е много по-ниско от количеството, което смятахме, че е там, за съжаление“, заяви главният изпълнителен директор на Shadowserver Пьотр Киевски.

„Съобщаваме за компрометирани машини с уеб шелове във вашата мрежа (640 за 2023-07-30). Знаем за широко разпространена експлоатация, която се случва още на 20 юли“, заявиха от Shadowserver в своя публичен бюлетин.

„Ако дотогава не сте направили кръпка, моля, приемете, че сте компрометирани. Смятаме, че действителният брой на свързаните с CVE-2023-3519 уебшелове е много по-голям от 640.“

Преди около две седмици броят на устройствата на Citrix, уязвими на атаки с CVE-2023-3519, възлизаше на около 15 000. Оттогава обаче този брой е спаднал до под 10 000, което показва известен напредък в ограничаването на уязвимостта.

На 18 юли Citrix пусна актуализации за сигурност, за да отстрани уязвимостта RCE, като призна, че са наблюдавани експлойти в уязвими устройства и призова клиентите да инсталират пачовете незабавно.

Уязвимостта засяга предимно непоправени устройства Netscaler, конфигурирани като шлюзове (VPN виртуален сървър, ICA Proxy, CVPN, RDP Proxy) или виртуални сървъри за удостоверяване (AAA сървър).

В допълнение към адресирането на CVE-2023-3519, Citrix също така закърпи две други уязвимости с висока степен на опасност в същия ден, CVE-2023-3466 и CVE-2023-3467, които могат да бъдат използвани за отразени атаки с кръстосани скриптове (XSS) и повишаване на привилегиите до root.

В отговор на продължаващите атаки CISA нареди на федералните агенции на САЩ да защитят сървърите на Citrix в своите мрежи до 9 август.

В предупреждението се посочва също, че уязвимостта вече е била използвана за пробив в системите на организация от критичната инфраструктура на САЩ.

„През юни 2023 г.  заплахите са използвали тази уязвимост като нулев ден, за да пуснат webshell в устройството NetScaler ADC на организация от критичната инфраструктура“, заяви CISA.

Уеб обвивката даде възможност на извършителите да извършат откриване на активната директория (AD) на жертвата и да съберат и ексфилтрират данни от AD. Хакерите  са се опитали да се придвижат странично до контролер на домейн, но контролите за мрежова сегментация на устройството са блокирали движението.“

Банди за рансъмуер, включително REvil и DoppelPaymer, са се възползвали от подобни уязвимости на Citrix Netscaler ADC и Gateway, за да пробият корпоративни мрежи при предишни атаки.

Това подчертава неотложната необходимост екипите по сигурността да превърнат пачирането на сървърите на Citrix в основен приоритет в своите списъци със задачи.

 

 

 

Източник: По материали от Интернет

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
Бъдете социални
Още по темата
03/10/2023

Новият ASMCrypt Malware Loa...

Киберпрестъпници продават нов софтуер за криптиране...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
01/10/2023

Нова атака на Marvin съживя...

Недостатък, свързан с подложката PKCS #1...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!