Citrix Zero-Day: 7 хил. инсталации остават изложени на риск, 460 са пробити

Picture of e-security.bg
e-security.bg
Aрхив | Уязвимости

Няколко групи за заплахи активно използват критична уязвимост в мрежовите продукти на Citrix. Три седмици след като Citrix пусна кръпка за своите NetScaler ADC и NetScaler Gateway, изследователите твърдят, че близо 7000 устройства остават уязвими в мрежата. От тях около 460 са с инсталирани уеб обвивки, вероятно поради компрометиране.

На 18 юли компанията за облачни изчисления Citrix публикува кръпка за CVE-2023-3519, „критична“ уязвимост от нулев ден с оценка 9.8 по CVSS, която позволява неавтентифицирано отдалечено изпълнение на код (RCE) в продуктите NetScaler Application Delivery Controller (ADC) и Gateway на Citrix.

След публикуването на кръпката редица изследователи демонстрираха как уязвимостта може да бъде използвана. А нападателите – за които рядко се знае, че пропускат възможност – се възползваха от недостатъка, като инсталираха стотици уеб обвивки в корпоративни мрежи и вече извършиха десетки експлойти.

И все пак, според данни на Shadowserver Foundation, хиляди уязвими  NetScaler остават непоправени днес и много организации остават на милостта на атакуващите, които инсталират уеб обвивки и изпълняват команди във вътрешните мрежи по желание.

„Случаят е сложен, като се има предвид, че Citrix се използва в много известни организации“, казва Пьотр Киевски, главен изпълнителен директор на Shadowserver. „Видяхме доста големи имена, които все още бяха уязвими дори преди няколко дни, включително болници – такъв тип важни институции. Така че потенциалните последици могат да бъдат големи, ако някой атакува тези организации с ransomware след месец.“

Нападателите се движат по-бързо от защитниците

В пиковия момент Shadowserver проследи близо 18 000 открити, неподправени инсталации на IP адреси на NetScaler ADC и Gateway. Този брой намалява постоянно, но не бързо, тъй като днес остават близо 7000, разположени предимно в Северна Америка (2794) и Европа (2670).

 

В продължение на седмици изследователите са документирали случаи на хакери, които активно компрометират тези открити мрежови устройства. Само 10 дни след първоначалното разкриване Shadowserver откри близо 700 уеб обвивки, инсталирани на IP адреси на NetScaler, за които се предполага, че са свързани със случаи на компрометиране на CVE-2023-3159. Оттогава този брой е намалял, но само с 33%.

Ако първоначалните пробиви са били съсредоточени предимно в региона на ЕС (Германия, Швейцария, Италия и Франция са били основните цели), преобладаващата част от IP адресите, които все още са изложени на риск от понеделник, се намират в Съединените щати – общо 2600, в сравнение с 630 в Германия и 425 в Обединеното кралство.

Междувременно honeypot-ите на Shadowserver регистрираха увеличение на броя на активните опити за експлоатация, като само в неделя бяха регистрирани десетина случая.

Какво да направите

Киевски прогнозира, че ще има още компромати – както за този CVE, така и за други подобни в бъдеще. Той посочва като модел уязвимостта за прехвърляне на файлове MOVEit от тази пролет.

„Участниците в заплахите – независимо дали са държавно спонсорирани или престъпни групи – отделят време, пари, ресурси и умения за това“, обяснява той. „Това е промяна през последната година. Преди експлойтите бяха по-скоро в ръцете на добре финансирани държавни участници или на изследователи, които пускаха експлойт и след това всички скачаха в кюпа. Сега дори престъпните групи изглежда се интересуват от наистина целенасочени уязвимости и сами ги обръщат, по-специално срещу код, който обикновено се използва в големи организации.“

В допълнение към кръпките (които в много случаи могат да бъдат твърде закъснели), Shadowserver съветва клиентите на Citrix да ангажират своите екипи за реагиране при инциденти и, ако са компрометирани, да създадат или нова система от нулата, или да рестартират от сигурно резервно копие или имидж. Те подчертават, че днешните уеб шелове  ще бъдат утрешните кибератаки.

„Очакваме тези уеб обвивки да бъдат използвани, когато моментът е подходящ за нападателя“, пише Shadowserver в последната си актуализация. „Това може да се случи и след като целият първоначален интерес е отшумял и системните администратори/отговорниците по сигурността вече не гледат внимателно на своите Citrix устройства. Уверете се, че сте поправили вашето Citrix устройство, преди нападателят да го направи вместо вас.“

 

 

 

#мрежова сигурност
DARKReading

Подобни

Уязвимост в ISC BIND позволява дистанционен DoS
25.01.2026
container-ship-6631117_640
Проблем с последната версия на Outlook за iOS
24.01.2026
outlook_icon_closeup_3x_4x
Pwn2Own Automotive 2026 - над $1 млн. награди и 76 zero-day уязвимости
24.01.2026
Pwn2Own
Curl прекратява програмата си за награди поради flood от AI-slop
24.01.2026
pig-3566831_640
Критична уязвимост в SmarterMail
24.01.2026
vulnerable
Pwn2Own Automotive 2026 - Ден 2
23.01.2026
japan_tokyo

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
ClickFix кампания атакува хотели и туристически компании в България и ЕС
6.01.2026
Blue_screen_of_death-Maurice_Savage-Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.