Стотици сървъри на Citrix Netscaler ADC и Gateway вече са били пробити и заобиколени в поредица от атаки, насочени към критична уязвимост с отдалечено изпълнение на код (RCE), проследена като CVE-2023-3519.
Преди това уязвимостта е била използвана като нулев ден за пробив в мрежата на организация от критичната инфраструктура на САЩ.
Изследователи по сигурността от Shadowserver Foundation, организация с нестопанска цел, която се занимава с повишаване на сигурността в интернет, сега разкриха, че при тези атаки нападателите са разположили уеб обвивки на поне 640 сървъра Citrix.
„Можем да кажем, че това е доста стандартен China Chopper, но не искаме да разкриваме повече при тези обстоятелства. Мога да кажа, че количеството, което откриваме, е много по-ниско от количеството, което смятахме, че е там, за съжаление“, заяви главният изпълнителен директор на Shadowserver Пьотр Киевски.
„Съобщаваме за компрометирани машини с уеб шелове във вашата мрежа (640 за 2023-07-30). Знаем за широко разпространена експлоатация, която се случва още на 20 юли“, заявиха от Shadowserver в своя публичен бюлетин.
„Ако дотогава не сте направили кръпка, моля, приемете, че сте компрометирани. Смятаме, че действителният брой на свързаните с CVE-2023-3519 уебшелове е много по-голям от 640.“
Преди около две седмици броят на устройствата на Citrix, уязвими на атаки с CVE-2023-3519, възлизаше на около 15 000. Оттогава обаче този брой е спаднал до под 10 000, което показва известен напредък в ограничаването на уязвимостта.
На 18 юли Citrix пусна актуализации за сигурност, за да отстрани уязвимостта RCE, като призна, че са наблюдавани експлойти в уязвими устройства и призова клиентите да инсталират пачовете незабавно.
Уязвимостта засяга предимно непоправени устройства Netscaler, конфигурирани като шлюзове (VPN виртуален сървър, ICA Proxy, CVPN, RDP Proxy) или виртуални сървъри за удостоверяване (AAA сървър).
В допълнение към адресирането на CVE-2023-3519, Citrix също така закърпи две други уязвимости с висока степен на опасност в същия ден, CVE-2023-3466 и CVE-2023-3467, които могат да бъдат използвани за отразени атаки с кръстосани скриптове (XSS) и повишаване на привилегиите до root.
В отговор на продължаващите атаки CISA нареди на федералните агенции на САЩ да защитят сървърите на Citrix в своите мрежи до 9 август.
В предупреждението се посочва също, че уязвимостта вече е била използвана за пробив в системите на организация от критичната инфраструктура на САЩ.
„През юни 2023 г. заплахите са използвали тази уязвимост като нулев ден, за да пуснат webshell в устройството NetScaler ADC на организация от критичната инфраструктура“, заяви CISA.
Уеб обвивката даде възможност на извършителите да извършат откриване на активната директория (AD) на жертвата и да съберат и ексфилтрират данни от AD. Хакерите са се опитали да се придвижат странично до контролер на домейн, но контролите за мрежова сегментация на устройството са блокирали движението.“
Банди за рансъмуер, включително REvil и DoppelPaymer, са се възползвали от подобни уязвимости на Citrix Netscaler ADC и Gateway, за да пробият корпоративни мрежи при предишни атаки.
Това подчертава неотложната необходимост екипите по сигурността да превърнат пачирането на сървърите на Citrix в основен приоритет в своите списъци със задачи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.