O governo dos EUA está alertando que agentes de ameaças invadiram a rede de uma organização dos EUA no setor de infraestrutura crítica, explorando uma vulnerabilidade RCE zero-day atualmente identificada como
CVE-2023-3519
, um problema de severidade crítica no NetScaler ADC e Gateway que o Citrix corrigiu esta semana.
A Agência de Segurança de Infraestrutura e Cibersegurança (CISA) diz que o ataque ocorreu em junho e os hackers usaram seu acesso para roubar dados do Active Directory.
Em um comunicado esta semana, a CISA adverte que os hackers se aproveitaram da falha de execução remota de código (RCE) não autenticada para implantar um webshell no Aplicativo de Entrega de Controlador NetScaler (ADC) de não-produção do alvo.
O backdoor permitiu ao invasor enumerar objetos do Active Directory (AD), que incluem usuários, grupos, aplicativos e dispositivos na rede, bem como roubar dados do AD.
Como o ADC da NetScaler direcionado estava em um ambiente segregado na rede, os hackers não conseguiram mover lateralmente para um controlador de domínio, diz a CISA.
A CISA divulgou um comunicado com táticas, técnicas e procedimentos (TTPs), além de métodos de detecção para ajudar organizações, particularmente aquelas no segmento de infraestrutura crítica, a determinar se seus sistemas foram comprometidos.
Durante o estágio inicial de exploração, os hackers carregaram no aparelho vulnerável um arquivo TGZ com um genérico de webshell, um script de descoberta e um binário de setuid.
O invasor criptografou os dados de descoberta usando a biblioteca OpenSSL e os preparou para exfiltração para um local acessível pela web em formato compactado como um tarball disfarçado de imagem PNG.
Parece que os hackers tentaram encobrir seus rastros excluindo o arquivo de autorização, o que impediria os administradores de fazerem login remotamente.
Para recuperar o acesso, é necessário reiniciar em modo de usuário único, que pode ter excluído artefatos.
Com agentes de ameaças explorando a vulnerabilidade desde que era um zero-day, os administradores do NetScaler devem instalar sem demora os últimos updates que a Citrix lançou para resolver o problema.
Uma avaliação inicial da The Shadowserver Foundation, uma organização sem fins lucrativos dedicada a tornar a Internet mais segura, viu que o
CVE-2023-3519
provavelmente estava afetando mais de 11.000 servidores NetScaler ADC e Gateway expostos online.
Esse número aumentou para 15.000, a organização informou o BleepingComputer hoje, depois de refinar sua consulta para marcar como vulneráveis todos os aparelhos NetScaler que retornaram um cabeçalho de "última modificação" com uma data antes de 1º de julho.
A CISA também divulgou um conjunto de comandos que as organizações podem usar para verificar se há sinais de comprometimento ao explorar o
CVE-2023-3519
.
Citrix corrigiu o
CVE-2023-3519
em 18 de julho, juntamente com duas vulnerabilidades menos severas.
Uma é um bug de scripting cross-site (XSS) refletido com uma pontuação de severidade de 8.3 e rastreado como
CVE-2023-3466
.
Explorar essa falha é possível se a vítima na mesma rede que o aparelho vulnerável carrega no navegador um link malicioso de um invasor.
O outro é uma escalada de privilégios para root identificada como
CVE-2023-3467
.
Ele recebeu uma pontuação de severidade 8.0 e pode ser explorado por um invasor com o função menos privilegiada no interface de linha de comando (CLI) NetScaler.
Jorren Geurts e Wouter Rijkborst, pesquisadores da empresa de cibersegurança Resillion, publicaram uma análise técnica detalhada da vulnerabilidade, explicando como empilhar comandos específicos no CLI do NetScaler permite que qualquer usuário com permissões somente leitura obtenha privilégios de root no sistema.
Os pesquisadores disseram ao BleepingComputer que um usuário de baixo privilégio também poderia obter permissão de root no aparelho usando os mesmos comandos na interface de gerenciamento da web.
No entanto, Rijkborst disse que esse método é menos estável.
Atualmente, não há informações sobre essas vulnerabilidades menos severas sendo exploradas, mas agentes de ameaças que já têm acesso à rede podem usá-las para aumentar seu acesso na rede.
Recentemente, as empresas Estée Lauder foram violadas duas vezes em ataques separados de Clop, através da vulnerabilidade zero-day MOVEit, e das gangues de ransomware ALPHV/BlackCat.
Ainda não está claro como o ALPH/BlackCat obteve acesso inicial, mas a gangue se gabou de que duas semanas após a empresa contratar os serviços da Microsoft DART e Mandiant para lidar com o primeiro incidente, eles ainda estavam na rede.
Os atores de ameaças, especialmente os grupos avançados, não se apressam sempre para se mover lateralmente na rede da vítima e às vezes esperam silenciosamente para encontrar um método que faça menos barulho e aumente o sucesso do ataque.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...