Centenas de servidores Citrix Netscaler ADC e Gateway já foram violados e 'backdoored' em uma série de ataques visando uma vulnerabilidade crítica de execução de código remoto (RCE) rastreada como
CVE-2023-3519
.
A vulnerabilidade foi previamente explorada como um "zero-day" para violar a rede de uma organização de infraestrutura crítica dos Estados Unidos.
Pesquisadores de segurança da Shadowserver Foundation, uma organização sem fins lucrativos dedicada a aprimorar a segurança da internet, agora revelaram que os invasores instalam "web shells" em pelo menos 640 servidores Citrix nestes ataques.
"Podemos dizer que é um China Chopper padrão, mas não queremos divulgar mais detalhes nas circunstâncias atuais.
Infelizmente, podemos dizer que a quantidade que detectamos é muito menor do que acreditamos que esteja lá fora", disse o CEO da Shadowserver, Piotr Kijewski, ao BleepingComputer.
"Relatamos sobre aparelhos comprometidos com webshells em sua rede (640 para 30-07-2023).
Estamos cientes de uma exploração generalizada já no dia 20 de julho", disse a Shadowserver em sua lista de email público.
"Se você não corrigiu até então, por favor, assuma o comprometimento.
Acreditamos que o número real de webshells relacionados ao
CVE-2023-3519
seja muito maior que 640."
Cerca de duas semanas atrás, o número de aparelhos Citrix vulneráveis a ataques
CVE-2023-3519
era de aproximadamente 15 mil.
No entanto, esse número caiu para menos de 10 mil, indicando algum progresso na mitigação da vulnerabilidade.
A Citrix liberou atualizações de segurança em 18 de julho para lidar com a vulnerabilidade RCE, reconhecendo que exploits haviam sido observados em aparelhos vulneráveis e instando os clientes a instalar os patches sem demora.
A vulnerabilidade impacta principalmente aparelhos Netscaler não corrigidos configurados como gateways (servidor VPN virtual, ICA Proxy, CVPN, RDP Proxy) ou servidores virtuais de autenticação (servidor AAA).
Além de abordar o
CVE-2023-3519
, a Citrix também corrigiu duas outras vulnerabilidades de alta gravidade no mesmo dia,
CVE-2023-3466
e
CVE-2023-3467
, que podem ser exploradas para ataques de script cross-site refletido (XSS) e de escalada de privilégio para "root".
Em resposta aos ataques em andamento, a CISA ordenou às agências federais dos EUA que protegessem os servidores Citrix em suas redes até 9 de agosto.
O alerta também destacou que a vulnerabilidade já havia sido explorada para violar os sistemas de uma organização de infraestrutura crítica dos EUA.
"Em junho de 2023, atores de ameaças exploraram essa vulnerabilidade como um zero-day para implantar um webshell no aparelho NetScaler ADC da organização de infraestrutura crítica", disse a CISA.
"O webshell permitiu aos atores realizar a descoberta no diretório ativo (AD) da vítima e coletar e exfiltrar os dados do AD.
Os atores tentaram se mover lateralmente para um controlador de domínio, mas os controles de segmentação de rede do aparelho bloquearam o movimento."
Grupos de ransomware, incluindo REvil e DoppelPaymer, aproveitaram vulnerabilidades semelhantes da Citrix Netscaler ADC e Gateway para violar redes corporativas em ataques anteriores.
Isso destaca a urgente necessidade das equipes de segurança tornarem a atualização dos servidores Citrix uma prioridade em suas listas de tarefas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...