Стотици сървъри на Citrix Netscaler ADC и Gateway вече са били пробити и заобиколени в поредица от атаки, насочени към критична уязвимост с отдалечено изпълнение на код (RCE), проследена като CVE-2023-3519.

Преди това уязвимостта е била използвана като нулев ден за пробив в мрежата на организация от критичната инфраструктура на САЩ.

Изследователи по сигурността от Shadowserver Foundation, организация с нестопанска цел, която се занимава с повишаване на сигурността в интернет, сега разкриха, че при тези атаки нападателите са разположили уеб обвивки на поне 640 сървъра Citrix.

„Можем да кажем, че това е доста стандартен China Chopper, но не искаме да разкриваме повече при тези обстоятелства. Мога да кажа, че количеството, което откриваме, е много по-ниско от количеството, което смятахме, че е там, за съжаление“, заяви главният изпълнителен директор на Shadowserver Пьотр Киевски.

„Съобщаваме за компрометирани машини с уеб шелове във вашата мрежа (640 за 2023-07-30). Знаем за широко разпространена експлоатация, която се случва още на 20 юли“, заявиха от Shadowserver в своя публичен бюлетин.

„Ако дотогава не сте направили кръпка, моля, приемете, че сте компрометирани. Смятаме, че действителният брой на свързаните с CVE-2023-3519 уебшелове е много по-голям от 640.“

Преди около две седмици броят на устройствата на Citrix, уязвими на атаки с CVE-2023-3519, възлизаше на около 15 000. Оттогава обаче този брой е спаднал до под 10 000, което показва известен напредък в ограничаването на уязвимостта.

На 18 юли Citrix пусна актуализации за сигурност, за да отстрани уязвимостта RCE, като призна, че са наблюдавани експлойти в уязвими устройства и призова клиентите да инсталират пачовете незабавно.

Уязвимостта засяга предимно непоправени устройства Netscaler, конфигурирани като шлюзове (VPN виртуален сървър, ICA Proxy, CVPN, RDP Proxy) или виртуални сървъри за удостоверяване (AAA сървър).

В допълнение към адресирането на CVE-2023-3519, Citrix също така закърпи две други уязвимости с висока степен на опасност в същия ден, CVE-2023-3466 и CVE-2023-3467, които могат да бъдат използвани за отразени атаки с кръстосани скриптове (XSS) и повишаване на привилегиите до root.

В отговор на продължаващите атаки CISA нареди на федералните агенции на САЩ да защитят сървърите на Citrix в своите мрежи до 9 август.

В предупреждението се посочва също, че уязвимостта вече е била използвана за пробив в системите на организация от критичната инфраструктура на САЩ.

„През юни 2023 г.  заплахите са използвали тази уязвимост като нулев ден, за да пуснат webshell в устройството NetScaler ADC на организация от критичната инфраструктура“, заяви CISA.

Уеб обвивката даде възможност на извършителите да извършат откриване на активната директория (AD) на жертвата и да съберат и ексфилтрират данни от AD. Хакерите  са се опитали да се придвижат странично до контролер на домейн, но контролите за мрежова сегментация на устройството са блокирали движението.“

Банди за рансъмуер, включително REvil и DoppelPaymer, са се възползвали от подобни уязвимости на Citrix Netscaler ADC и Gateway, за да пробият корпоративни мрежи при предишни атаки.

Това подчертава неотложната необходимост екипите по сигурността да превърнат пачирането на сървърите на Citrix в основен приоритет в своите списъци със задачи.

 

 

 

Източник: По материали от Интернет

Подобни публикации

16 юни 2025

Grafana — над 46 000 сървъра все още са уязвими

Над 46 000 Grafana сървъри с публичен достъп все още изпълняват неа...
16 юни 2025

WestJet потвърди кибератака, засегнала нейни си...

WestJet, втората по големина авиокомпания на Канада, потвърди, че н...
16 юни 2025

Anubis с нов разрушителен механизъм

Групата Anubis, действаща като платформа „рансъмуер като услуга“ (R...
16 юни 2025

Потребителите искат старите функции да се върна...

Голяма част от потребителите на Windows 11 смятат, че с новото изда...
16 юни 2025

Глобалното прекъсване на услуги на Google Cloud...

Големият срив на Google Cloud в четвъртък, 12 юни, засегна широк кр...
16 юни 2025

Хакери използват изтрити и изтекли покани за Di...

Хакери са открили начин да превземат изтрити и изтекли покани за съ...
15 юни 2025

Microsoft проучва проблем със стартиране на Sur...

Microsoft потвърди за технически проблем, при който устройства Surf...
Бъдете социални
Още по темата
16/06/2025

WestJet потвърди кибератака...

WestJet, втората по големина авиокомпания на...
13/06/2025

Хакери атакуват с TeamFiltr...

Хакерска група, известна като UNK_SneakyStrike, използва...
12/06/2025

SmartAttack: Как смарт часо...

Изследователи от израелски университет, водени от...
Последно добавени
16/06/2025

Grafana — над 46 000 сървър...

Над 46 000 Grafana сървъри с...
16/06/2025

WestJet потвърди кибератака...

WestJet, втората по големина авиокомпания на...
16/06/2025

Anubis с нов разрушителен м...

Групата Anubis, действаща като платформа „рансъмуер...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!