Стотици сървъри на Citrix Netscaler ADC и Gateway вече са били пробити и заобиколени в поредица от атаки, насочени към критична уязвимост с отдалечено изпълнение на код (RCE), проследена като CVE-2023-3519.
Преди това уязвимостта е била използвана като нулев ден за пробив в мрежата на организация от критичната инфраструктура на САЩ.
Изследователи по сигурността от Shadowserver Foundation, организация с нестопанска цел, която се занимава с повишаване на сигурността в интернет, сега разкриха, че при тези атаки нападателите са разположили уеб обвивки на поне 640 сървъра Citrix.
„Можем да кажем, че това е доста стандартен China Chopper, но не искаме да разкриваме повече при тези обстоятелства. Мога да кажа, че количеството, което откриваме, е много по-ниско от количеството, което смятахме, че е там, за съжаление“, заяви главният изпълнителен директор на Shadowserver Пьотр Киевски.
„Съобщаваме за компрометирани машини с уеб шелове във вашата мрежа (640 за 2023-07-30). Знаем за широко разпространена експлоатация, която се случва още на 20 юли“, заявиха от Shadowserver в своя публичен бюлетин.
„Ако дотогава не сте направили кръпка, моля, приемете, че сте компрометирани. Смятаме, че действителният брой на свързаните с CVE-2023-3519 уебшелове е много по-голям от 640.“
Преди около две седмици броят на устройствата на Citrix, уязвими на атаки с CVE-2023-3519, възлизаше на около 15 000. Оттогава обаче този брой е спаднал до под 10 000, което показва известен напредък в ограничаването на уязвимостта.
На 18 юли Citrix пусна актуализации за сигурност, за да отстрани уязвимостта RCE, като призна, че са наблюдавани експлойти в уязвими устройства и призова клиентите да инсталират пачовете незабавно.
Уязвимостта засяга предимно непоправени устройства Netscaler, конфигурирани като шлюзове (VPN виртуален сървър, ICA Proxy, CVPN, RDP Proxy) или виртуални сървъри за удостоверяване (AAA сървър).
В допълнение към адресирането на CVE-2023-3519, Citrix също така закърпи две други уязвимости с висока степен на опасност в същия ден, CVE-2023-3466 и CVE-2023-3467, които могат да бъдат използвани за отразени атаки с кръстосани скриптове (XSS) и повишаване на привилегиите до root.
В отговор на продължаващите атаки CISA нареди на федералните агенции на САЩ да защитят сървърите на Citrix в своите мрежи до 9 август.
В предупреждението се посочва също, че уязвимостта вече е била използвана за пробив в системите на организация от критичната инфраструктура на САЩ.
„През юни 2023 г. заплахите са използвали тази уязвимост като нулев ден, за да пуснат webshell в устройството NetScaler ADC на организация от критичната инфраструктура“, заяви CISA.
Уеб обвивката даде възможност на извършителите да извършат откриване на активната директория (AD) на жертвата и да съберат и ексфилтрират данни от AD. Хакерите са се опитали да се придвижат странично до контролер на домейн, но контролите за мрежова сегментация на устройството са блокирали движението.“
Банди за рансъмуер, включително REvil и DoppelPaymer, са се възползвали от подобни уязвимости на Citrix Netscaler ADC и Gateway, за да пробият корпоративни мрежи при предишни атаки.
Това подчертава неотложната необходимост екипите по сигурността да превърнат пачирането на сървърите на Citrix в основен приоритет в своите списъци със задачи.
