Търсене
Close this search box.

Стотици сървъри на Citrix Netscaler ADC и Gateway вече са били пробити и заобиколени в поредица от атаки, насочени към критична уязвимост с отдалечено изпълнение на код (RCE), проследена като CVE-2023-3519.

Преди това уязвимостта е била използвана като нулев ден за пробив в мрежата на организация от критичната инфраструктура на САЩ.

Изследователи по сигурността от Shadowserver Foundation, организация с нестопанска цел, която се занимава с повишаване на сигурността в интернет, сега разкриха, че при тези атаки нападателите са разположили уеб обвивки на поне 640 сървъра Citrix.

„Можем да кажем, че това е доста стандартен China Chopper, но не искаме да разкриваме повече при тези обстоятелства. Мога да кажа, че количеството, което откриваме, е много по-ниско от количеството, което смятахме, че е там, за съжаление“, заяви главният изпълнителен директор на Shadowserver Пьотр Киевски.

„Съобщаваме за компрометирани машини с уеб шелове във вашата мрежа (640 за 2023-07-30). Знаем за широко разпространена експлоатация, която се случва още на 20 юли“, заявиха от Shadowserver в своя публичен бюлетин.

„Ако дотогава не сте направили кръпка, моля, приемете, че сте компрометирани. Смятаме, че действителният брой на свързаните с CVE-2023-3519 уебшелове е много по-голям от 640.“

Преди около две седмици броят на устройствата на Citrix, уязвими на атаки с CVE-2023-3519, възлизаше на около 15 000. Оттогава обаче този брой е спаднал до под 10 000, което показва известен напредък в ограничаването на уязвимостта.

На 18 юли Citrix пусна актуализации за сигурност, за да отстрани уязвимостта RCE, като призна, че са наблюдавани експлойти в уязвими устройства и призова клиентите да инсталират пачовете незабавно.

Уязвимостта засяга предимно непоправени устройства Netscaler, конфигурирани като шлюзове (VPN виртуален сървър, ICA Proxy, CVPN, RDP Proxy) или виртуални сървъри за удостоверяване (AAA сървър).

В допълнение към адресирането на CVE-2023-3519, Citrix също така закърпи две други уязвимости с висока степен на опасност в същия ден, CVE-2023-3466 и CVE-2023-3467, които могат да бъдат използвани за отразени атаки с кръстосани скриптове (XSS) и повишаване на привилегиите до root.

В отговор на продължаващите атаки CISA нареди на федералните агенции на САЩ да защитят сървърите на Citrix в своите мрежи до 9 август.

В предупреждението се посочва също, че уязвимостта вече е била използвана за пробив в системите на организация от критичната инфраструктура на САЩ.

„През юни 2023 г.  заплахите са използвали тази уязвимост като нулев ден, за да пуснат webshell в устройството NetScaler ADC на организация от критичната инфраструктура“, заяви CISA.

Уеб обвивката даде възможност на извършителите да извършат откриване на активната директория (AD) на жертвата и да съберат и ексфилтрират данни от AD. Хакерите  са се опитали да се придвижат странично до контролер на домейн, но контролите за мрежова сегментация на устройството са блокирали движението.“

Банди за рансъмуер, включително REvil и DoppelPaymer, са се възползвали от подобни уязвимости на Citrix Netscaler ADC и Gateway, за да пробият корпоративни мрежи при предишни атаки.

Това подчертава неотложната необходимост екипите по сигурността да превърнат пачирането на сървърите на Citrix в основен приоритет в своите списъци със задачи.

 

 

 

Източник: По материали от Интернет

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
28/11/2024

T-Mobile споделя повече инф...

В сряда T-Mobile сподели допълнителна информация...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!