Quase 2.000 servidores Citrix NetScaler comprometidos em campanha de hacking
16 de Agosto de 2023

Um ator de ameaças comprometeu quase 2.000 servidores Citrix NetScaler em uma campanha massiva explorando a execução remota de código de gravidade crítica, rastreada como CVE-2023-3519 .

Mais de 1.200 servidores foram violados antes que os administradores instalassem o patch para a vulnerabilidade e continuam sendo comprometidos porque não foram verificados quanto a sinais de exploração bem-sucedida, dizem os pesquisadores.

Pesquisadores de segurança da empresa de cibersegurança Fox-IT (parte do Grupo NCC) e do Instituto Holandês de Divulgação de Vulnerabilidades (DIVD) descobriram uma grande campanha que plantou webshells em servidores Citrix NetScaler vulneráveis ao CVE-2023-3519 .

Embora a vulnerabilidade tenha recebido um patch em 18 de julho, os hackers começaram a explorá-la como um zero-day para executar código sem autenticação.

Em 21 de julho, a Agência de Segurança de Cibersegurança e Infraestrutura (CISA) alertou que a vulnerabilidade havia sido usada para violar uma organização de infraestrutura crítica nos EUA.

No início deste mês, a organização sem fins lucrativos The Shadowserver Foundation descobriu que os hackers haviam infectado mais de 640 servidores Citrix NetScaler e plantado web shells para acesso remoto e persistência.

Nos últimos dois meses, a Fox-IT respondeu a vários incidentes relacionados à exploração do CVE-2023-3519 e descobriu servidores comprometidos com vários webshells.

Usando os detalhes sobre o backdoor, a Fox-IT e o DIVD foram capazes de varrer a internet em busca de dispositivos que tinham as webshells instaladas.

Administradores podem reconhecer seus scans verificando os logs de acesso HTTP Citrix pelo user-agent: DIVD-2023-00033.

Inicialmente, as varreduras consideraram apenas sistemas vulneráveis, mas depois se expandiram para instâncias Citrix que receberam a atualização para resolver o CVE-2023-3519 .

Isso revelou 1.952 servidores NetScaler comprometidos com os mesmos webshells que a Fox-IT encontrou durante os incidentes de resposta, indicando que o adversário usou um método automatizado para explorar a vulnerabilidade em larga escala.

Em um contexto maior, os 1.952 servidores violados representam mais de 6% das 31.127 instâncias Citrix NetScaler vulneráveis ao CVE-2023-3519 a nível global quando a campanha estava ativa.

Dos servidores comprometidos descobertos, a Fox-IT diz que 1.828 permaneceram violados em 14 de agosto e que 1.247 foram corrigidos após os hackers plantarem as webshells.

Em 10 de agosto, a Fox-IT e o DIVD começaram a contatar organizações, diretamente ou por meio de CERTs nacionais, sobre instâncias NetScaler comprometidas em sua rede.

Ontem, o maior número de servidores Citrix NetScaler comprometidos, tanto corrigidos quanto não corrigidos, estava na Alemanha, seguido pela França e Suíça.

A Fox-IT diz que a Europa é a mais afetada, destacando que dos 10 países mais afetados, apenas dois são de uma região diferente do mundo.

Outro detalhe que os pesquisadores observaram é que, enquanto Canadá, Rússia e EUA tinham milhares de servidores NetScaler vulneráveis em 21 de julho, eles encontraram webshells comprometedoras em quase nenhum deles.

A Fox-IT diz que o número de servidores Citrix NetScaler afetados está diminuindo, mas ainda há muitas instâncias comprometidas.

Os pesquisadores alertam que um servidor NetScaler corrigido ainda pode ter um backdoor e recomendam que os administradores realizem uma triagem básica em seus sistemas.

Eles fornecem um script Python que usa o kit de ferramentas de resposta a incidentes e forense Dissect.

A Mandiant também lançou um scanner que procura por indicadores de compromisso relacionados a ataques explorando o CVE-2023-3519 .

No entanto, os pesquisadores advertem que a execução deste script bash duas vezes resulta em falsos positivos porque "certas pesquisas são escritas nos logs do NetScaler sempre que o script é executado".

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...