Σχεδόν 2.000 διακομιστές Citrix NetScaler με κερκόπορτα σε εκστρατεία hacking
Ένας παράγοντας απειλών έχει θέσει σε κίνδυνο σχεδόν 2.000 χιλιάδες διακομιστές Citrix NetScaler σε μια τεράστια καμπάνια που εκμεταλλεύεται την κρίσιμης σοβαρότητας απομακρυσμένη εκτέλεση κώδικα που παρακολουθείται ως CVE-2023-3519.
Περισσότεροι από 1.200 διακομιστές ήταν backdoor πριν οι διαχειριστές εγκαταστήσουν την ενημερωμένη έκδοση κώδικα για την ευπάθεια και συνεχίζουν να παραβιάζονται επειδή δεν έχουν ελεγχθεί για σημάδια επιτυχούς εκμετάλλευσης, λένε οι ερευνητές.
Η RCE αξιοποιήθηκε για να χακάρει το 6% όλων των ευάλωτων διακομιστών
Ερευνητές ασφαλείας της εταιρείας κυβερνοασφάλειας Fox-IT (μέρος του Ομίλου NCC) και του Ολλανδικού Ινστιτούτου Αποκάλυψης Ευπάθειας (DIVD) ανακάλυψαν μια εκστρατεία μεγάλης κλίμακας που φύτεψε διαδικτυακά κελύφη σε διακομιστές Citrix Netscaler που ήταν ευάλωτοι στο CVE-2023-3519.
Αν και η ευπάθεια έλαβε μια ενημέρωση κώδικα στις 18 Ιουλίου, οι χάκερ άρχισαν να την εκμεταλλεύονται στην άγρια φύση ως ημέρα μηδέν για την εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας.
Στις 21 Ιουλίου, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (
CISA
) προειδοποίησε ότι η ευπάθεια είχε χρησιμοποιηθεί για να παραβιάσει έναν οργανισμό υποδομής ζωτικής σημασίας στις ΗΠΑ
Νωρίτερα αυτό το μήνα, ο μη κερδοσκοπικός οργανισμός The Shadowserver
Foundation
διαπίστωσε ότι οι χάκερ είχαν μολύνει περισσότερους από 640 διακομιστές Citrix NetScaler και είχαν φυτέψει κελύφη ιστού για απομακρυσμένη πρόσβαση και
επιμονή
.
Τους τελευταίους δύο μήνες, η Fox-IT απάντησε σε πολλά περιστατικά που σχετίζονται με την εκμετάλλευση του CVE-2023-3519 και ανακάλυψε διακομιστές που είχαν παραβιαστεί με πολλά κελύφη ιστού.
Χρησιμοποιώντας τις λεπτομέρειες σχετικά με τις κερκόπορτες, το Fox-IT και το DIVD μπόρεσαν να σαρώσουν το Διαδίκτυο για
συσκευές
που είχαν εγκατεστημένα τα κελύφη Ιστού. Οι διαχειριστές μπορούν να αναγνωρίσουν τις σαρώσεις τους ελέγχοντας τα αρχεία καταγραφής πρόσβασης Citrix HTTP για τον παράγοντα χρήστη: DIVD-2023-00033.
Αρχικά, οι σαρώσεις θεωρούσαν μόνο ευάλωτα συστήματα, αλλά αργότερα επεκτάθηκαν σε περιπτώσεις Citrix που έλαβαν την ενημέρωση για τη διεύθυνση CVE-2023-3519.
Αυτό αποκάλυψε 1.952 διακομιστές NetScaler με τα ίδια κελύφη ιστού που βρήκε το Fox-IT κατά τη διάρκεια των δεσμεύσεων απόκρισης περιστατικού, υποδεικνύοντας ότι ο αντίπαλος χρησιμοποίησε μια αυτοματοποιημένη μέθοδο για να εκμεταλλευτεί την ευπάθεια σε μεγάλη κλίμακα.
Διανομή κερκόπορτων διακομιστών Citrix NetScaler στις 14 Αυγούστου
πηγή: Fox-IT
Σε ένα ευρύτερο πλαίσιο, οι 1.952 backdoored
servers
αντιπροσωπεύουν περισσότερο από το 6% των 31.127 περιπτώσεων Citrix NetScaler που είναι ευάλωτες στο CVE-2023-3519 σε παγκόσμιο επίπεδο όταν η καμπάνια ήταν ενεργή.
Από τους παραβιασμένους διακομιστές που ανακαλύφθηκαν,
Το Fox-IT λέει
ότι 1.828 παρέμειναν πίσω στις 14 Αυγούστου και ότι 1.247 είχαν επιδιορθωθεί αφού οι χάκερ φύτεψαν τα κελύφη ιστού.
Αναλογία κελύφους ιστού σε επιδιορθωμένο και ευάλωτο Citrix NetScaler [CVE-2023-3519]
πηγή: Fox-IT
Στις 10 Αυγούστου, το Fox-IT και το DIVD άρχισαν να επικοινωνούν με οργανισμούς, είτε απευθείας είτε μέσω εθνικών CERT, σχετικά με παραβιασμένες περιπτώσεις NetScaler στο δίκτυό τους.
Χθες, ο μεγαλύτερος αριθμός παραβιασμένων διακομιστών Citrix NetScaler, τόσο επιδιορθωμένοι όσο και μη, ήταν στη Γερμανία, ακολουθούμενη από τη Γαλλία και την Ελβετία.
Οι 20 κορυφαίες χώρες με κερκόπορτες διακομιστές Citrix NetScaler
πηγή: Fox-IT
Η Fox-IT λέει ότι η Ευρώπη είναι η πιο επηρεασμένη, επισημαίνοντας ότι από τις 10 κορυφαίες χώρες που έχουν πληγεί, μόνο δύο προέρχονται από διαφορετική περιοχή του κόσμου.
Μια άλλη λεπτομέρεια που παρατήρησαν οι ερευνητές είναι ότι ενώ ο Καναδάς, η Ρωσία και οι ΗΠΑ διέθεταν χιλιάδες ευάλωτους διακομιστές NetScaler στις 21 Ιουλίου, βρήκαν συμβιβαστικά κελύφη ιστού σχεδόν σε κανέναν από αυτούς.
Η Fox-IT λέει ότι ο αριθμός των επηρεαζόμενων διακομιστών Citrix NetScaler μειώνεται, αλλά εξακολουθούν να υπάρχουν πολλές παραβιασμένες περιπτώσεις.
Οι ερευνητές προειδοποιούν ότι ένας επιδιορθωμένος διακομιστής NetScaler μπορεί να έχει ακόμα μια κερκόπορτα και συστήνουν στους διαχειριστές να κάνουν βασική διαλογή στα συστήματά τους.
Παρέχουν α
Σενάριο Python
που χρησιμοποιεί το
Διαμελίζω
εγκληματολογία και εργαλειοθήκη αντιμετώπισης περιστατικών.
Η Mandiant κυκλοφόρησε επίσης έναν σαρωτή που αναζητά δείκτες συμβιβασμού που σχετίζονται με επιθέσεις που εκμεταλλεύονται το CVE-2023-3519. Οι ερευνητές προειδοποιούν, ωστόσο, ότι η εκτέλεση αυτού του σεναρίου bash δύο φορές οδηγεί σε ψευδώς θετικά αποτελέσματα επειδή “ορισμένες αναζητήσεις εγγράφονται στα αρχεία καταγραφής του NetScaler κάθε φορά που εκτελείται το σενάριο”.
