Uma falha crítica recentemente divulgada nos dispositivos Citrix NetScaler ADC e Gateway está sendo explorada por invasores para realizar uma campanha de coleta de credenciais.
IBM X-Force, que descobriu a atividade no mês passado, disse que os adversários exploraram "
CVE-2023-3519
para atacar os Gateways NetScaler não corrigidos para inserir um script malicioso no conteúdo HTML da página de autenticação da web para capturar credenciais do usuário."
CVE-2023-3519
(pontuação CVSS: 9.8), endereçado pela Citrix em julho de 2023, é uma vulnerabilidade crítica de injeção de código que pode levar à execução de código remoto sem autenticação.
Ao longo dos últimos meses, tem sido fortemente explorado para infiltrar dispositivos vulneráveis e obter acesso persistente para ataques subsequentes.
Na cadeia de ataques mais recente descoberta pela IBM X-Force, os operadores enviaram uma solicitação web especialmente criada para acionar a exploração da
CVE-2023-3519
e implantar um shell web baseado em PHP.
O acesso proporcionado pelo shell da web é posteriormente usado para adicionar código personalizado à página de login do NetScaler Gateway que faz referência a um arquivo JavaScript remoto hospedado em uma infraestrutura controlada pelo invasor.
O código JavaScript é projetado para coletar os dados do formulário contendo as informações de nome de usuário e senha fornecidas pelo usuário e transmiti-las para um servidor remoto por meio de um método HTTP POST após a autenticação.
A empresa disse ter identificado "pelo menos 600 endereços IP de vítimas únicas hospedando páginas de login do NetScaler Gateway modificadas", a maioria delas localizadas nos EUA e na Europa.
Os ataques são ditos serem oportunistas, já que as adições aparecem mais de uma vez.
Não está exatamente claro quando a campanha começou, mas a modificação da página de login mais antiga é de 11 de agosto de 2023, indicando que tem estado em andamento por quase dois meses.
Não foi atribuído a nenhum invasor ou grupo de ameaças conhecidos.
A revelação vem enquanto Fortinet FortiGuard Labs descobriram uma versão atualizada da campanha DDoS baseada em IZ1H9 Mirai que faz uso de uma lista revisada de explorações visando várias falhas em câmeras IP e roteadores da D-Link, Geutebrück, Korenix, Netis, Sunhillo SureLine, TP-Link, TOTOLINK, Yealink e Zyxel.
"Isso destaca a capacidade da campanha de infectar dispositivos vulneráveis e expandir dramaticamente sua botnet através da rápida utilização de código de exploração recentemente lançado, que engloba vários CVEs", disse a pesquisadora de segurança Cara Lin.
A exploração bem-sucedida das vulnerabilidades abre caminho para a implantação de um downloader de script shell que é usado para recuperar a carga IZ1H9, transformando as máquinas Linux comprometidas em bots controlados remotamente para ataques de força bruta e DDoS em grande escala.
"Para combater essa ameaça, recomenda-se fortemente que as organizações apliquem patches prontamente quando disponíveis e sempre alterem as credenciais de login padrão para dispositivos", disse Lin.
O desenvolvimento também coincide com uma nova falha de injeção de comando remoto sem correção impactando o extensor de alcance D-Link DAP-X1860 (
CVE-2023-45208
) que poderia ser usado por invasores para executar comandos shell durante o processo de configuração, criando uma rede Wi-Fi com um SSID criado contendo o símbolo de apóstrofo, de acordo com o RedTeam Pentesting.
A Agência de Segurança da Infraestrutura e Cibersegurança dos EUA (CISA), em um aviso divulgado no mês passado, destacou o risco de ataques DDoS volumétricos contra sites e serviços da web relacionados, instando as organizações a implementar medidas apropriadas para reduzir a ameaça.
"Esses ataques têm como alvo sites específicos com o objetivo de esgotar os recursos do sistema alvo, tornando o alvo inatingível ou inacessível, e negando aos usuários o acesso ao serviço", disse o comunicado.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...