Mais de 640 servidores Citrix invadidos com shells web em ataques contínuos
3 de Agosto de 2023

Centenas de servidores Citrix Netscaler ADC e Gateway já foram violados e 'backdoored' em uma série de ataques visando uma vulnerabilidade crítica de execução de código remoto (RCE) rastreada como CVE-2023-3519 .

A vulnerabilidade foi previamente explorada como um "zero-day" para violar a rede de uma organização de infraestrutura crítica dos Estados Unidos.

Pesquisadores de segurança da Shadowserver Foundation, uma organização sem fins lucrativos dedicada a aprimorar a segurança da internet, agora revelaram que os invasores instalam "web shells" em pelo menos 640 servidores Citrix nestes ataques.

"Podemos dizer que é um China Chopper padrão, mas não queremos divulgar mais detalhes nas circunstâncias atuais.

Infelizmente, podemos dizer que a quantidade que detectamos é muito menor do que acreditamos que esteja lá fora", disse o CEO da Shadowserver, Piotr Kijewski, ao BleepingComputer.

"Relatamos sobre aparelhos comprometidos com webshells em sua rede (640 para 30-07-2023).

Estamos cientes de uma exploração generalizada já no dia 20 de julho", disse a Shadowserver em sua lista de email público.

"Se você não corrigiu até então, por favor, assuma o comprometimento.

Acreditamos que o número real de webshells relacionados ao CVE-2023-3519 seja muito maior que 640."

Cerca de duas semanas atrás, o número de aparelhos Citrix vulneráveis a ataques CVE-2023-3519 era de aproximadamente 15 mil.

No entanto, esse número caiu para menos de 10 mil, indicando algum progresso na mitigação da vulnerabilidade.

A Citrix liberou atualizações de segurança em 18 de julho para lidar com a vulnerabilidade RCE, reconhecendo que exploits haviam sido observados em aparelhos vulneráveis e instando os clientes a instalar os patches sem demora.

A vulnerabilidade impacta principalmente aparelhos Netscaler não corrigidos configurados como gateways (servidor VPN virtual, ICA Proxy, CVPN, RDP Proxy) ou servidores virtuais de autenticação (servidor AAA).

Além de abordar o CVE-2023-3519 , a Citrix também corrigiu duas outras vulnerabilidades de alta gravidade no mesmo dia, CVE-2023-3466 e CVE-2023-3467 , que podem ser exploradas para ataques de script cross-site refletido (XSS) e de escalada de privilégio para "root".

Em resposta aos ataques em andamento, a CISA ordenou às agências federais dos EUA que protegessem os servidores Citrix em suas redes até 9 de agosto.

O alerta também destacou que a vulnerabilidade já havia sido explorada para violar os sistemas de uma organização de infraestrutura crítica dos EUA.

"Em junho de 2023, atores de ameaças exploraram essa vulnerabilidade como um zero-day para implantar um webshell no aparelho NetScaler ADC da organização de infraestrutura crítica", disse a CISA.

"O webshell permitiu aos atores realizar a descoberta no diretório ativo (AD) da vítima e coletar e exfiltrar os dados do AD.

Os atores tentaram se mover lateralmente para um controlador de domínio, mas os controles de segmentação de rede do aparelho bloquearam o movimento."

Grupos de ransomware, incluindo REvil e DoppelPaymer, aproveitaram vulnerabilidades semelhantes da Citrix Netscaler ADC e Gateway para violar redes corporativas em ataques anteriores.

Isso destaca a urgente necessidade das equipes de segurança tornarem a atualização dos servidores Citrix uma prioridade em suas listas de tarefas.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...