Περισσότεροι από 640 διακομιστές Citrix με κερκόπορτα με κελύφη Ιστού σε συνεχείς επιθέσεις
Εκατοντάδες διακομιστές Citrix Netscaler ADC και Gateway έχουν ήδη παραβιαστεί και παραβιαστεί σε μια σειρά επιθέσεων που στοχεύουν ένα κρίσιμο θέμα ευπάθειας απομακρυσμένης εκτέλεσης κώδικα (RCE) που παρακολουθείται ως CVE-
2023
-3519.
Η ευπάθεια είχε χρησιμοποιηθεί στο παρελθόν ως μηδενική ημέρα για να παραβιαστεί το δίκτυο ενός οργανισμού υποδομής ζωτικής σημασίας των ΗΠΑ.
Ερευνητές ασφαλείας από το Shadowserver Foundation, έναν μη κερδοσκοπικό οργανισμό αφιερωμένο στην ενίσχυση της ασφάλειας στο Διαδίκτυο, αποκάλυψαν τώρα ότι οι εισβολείς είχαν αναπτύξει κελύφη Ιστού σε τουλάχιστον 640 διακομιστές Citrix σε αυτές τις επιθέσεις.
“Μπορούμε να πούμε ότι είναι αρκετά τυπικό
China
Chopper, αλλά δεν θέλουμε να αποκαλύψουμε περισσότερα υπό τις περιστάσεις. Μπορώ να πω ότι το ποσό που ανιχνεύουμε είναι πολύ χαμηλότερο από το ποσό που πιστεύουμε ότι είναι εκεί έξω, δυστυχώς”, δήλωσε ο CEO της Shadowserver, Piotr Kijewski, στο BleepingComputer. .
Παράδειγμα κελύφους ιστού China Chopper (BleepingComputer)
”Αναφέρουμε για παραβιασμένες συσκευές με κελύφη ιστού στο δίκτυό σας (640 για 30-07-2023). Γνωρίζουμε ότι η εκτεταμένη εκμετάλλευση συμβαίνει ήδη στις 20 Ιουλίου”, ανέφερε ο Shadowserver στη δημόσια λίστα αλληλογραφίας τους.
“Εάν δεν είχατε επιδιορθώσει μέχρι τότε, υποθέστε ότι υπάρχει συμβιβασμός. Πιστεύουμε ότι ο πραγματικός αριθμός των σχετικών με το CVE-2023-3519 κελύφους ιστού είναι πολύ μεγαλύτερος από 640.”
Πριν από περίπου δύο εβδομάδες, ο αριθμός των συσκευών Citrix που ήταν ευάλωτες σε επιθέσεις CVE-2023-3519 ήταν περίπου 15.000. Ωστόσο, αυτός ο αριθμός έχει έκτοτε
έπεσε κάτω από 10.000
υποδεικνύοντας κάποια πρόοδο στον μετριασμό της ευπάθειας.
Χάρτης παραβιασμένων διακομιστών Citrix (Shadowserver)
Η Citrix κυκλοφόρησε ενημερώσεις ασφαλείας στις 18 Ιουλίου για να αντιμετωπίσει την ευπάθεια RCE, αναγνωρίζοντας ότι είχαν παρατηρηθεί εκμεταλλεύσεις σε ευάλωτες συσκευές και προτρέποντας τους πελάτες να εγκαταστήσουν τις ενημερώσεις κώδικα χωρίς καθυστέρηση.
Η ευπάθεια επηρεάζει κυρίως μη επιδιορθωμένες συσκευές Netscaler που έχουν διαμορφωθεί ως πύλες (εικονικός διακομιστής VPN, διακομιστής μεσολάβησης ICA, CVPN, διακομιστής μεσολάβησης RDP) ή εικονικοί διακομιστές ελέγχου ταυτότητας (διακομιστής AAA).
Εκτός από την αντιμετώπιση του CVE-2023-3519, η Citrix επιδιορθώνει επίσης δύο άλλες ευπάθειες υψηλής σοβαρότητας την ίδια μέρα,
CVE-2023-3466
και
CVE-2023-3467
το οποίο θα μπορούσε να χρησιμοποιηθεί για επιθέσεις ανακλώμενης δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) και κλιμάκωση των προνομίων στο root.
Ως απάντηση στις συνεχιζόμενες επιθέσεις, η CISA διέταξε τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να
ασφαλείς διακομιστές Citrix στα δίκτυά τους
έως τις 9 Αυγούστου.
Η προειδοποίηση τόνισε επίσης ότι η ευπάθεια είχε ήδη εκμεταλλευτεί για την παραβίαση των συστημάτων ενός οργανισμού υποδομής ζωτικής σημασίας των ΗΠΑ.
“Τον Ιούνιο του 2023, οι φορείς απειλών εκμεταλλεύτηκαν αυτήν την ευπάθεια ως ημέρα μηδέν για να ρίξουν ένα κέλυφος ιστού στη συσκευή NetScaler ADC ενός οργανισμού υποδομής ζωτικής σημασίας,” CISA
είπε
.
“Το κέλυφος ιστού επέτρεψε στους ηθοποιούς να πραγματοποιήσουν ανακάλυψη στον ενεργό κατάλογο του θύματος (AD) και να συλλέξουν και να διηθήσουν δεδομένα AD. Οι ηθοποιοί προσπάθησαν να μετακινηθούν πλευρικά σε έναν ελεγκτή τομέα, αλλά τα στοιχεία ελέγχου τμηματοποίησης δικτύου για τη συσκευή απέκλεισαν την κίνηση.”
Οι συμμορίες
ransomware
, συμπεριλαμβανομένων των REvil και DoppelPaymer, έχουν εκμεταλλευτεί παρόμοιες ευπάθειες του Citrix Netscaler ADC και Gateway για να παραβιάσουν τα εταιρικά δίκτυα σε προηγούμενες επιθέσεις.
Αυτό υπογραμμίζει την πιεστική ανάγκη για τις ομάδες ασφαλείας να κάνουν την επιδιόρθωση διακομιστών Citrix κορυφαία προτεραιότητα στις λίστες υποχρεώσεών τους.
