Um ator de ameaças comprometeu quase 2.000 servidores Citrix NetScaler em uma campanha massiva explorando a execução remota de código de gravidade crítica, rastreada como
CVE-2023-3519
.
Mais de 1.200 servidores foram violados antes que os administradores instalassem o patch para a vulnerabilidade e continuam sendo comprometidos porque não foram verificados quanto a sinais de exploração bem-sucedida, dizem os pesquisadores.
Pesquisadores de segurança da empresa de cibersegurança Fox-IT (parte do Grupo NCC) e do Instituto Holandês de Divulgação de Vulnerabilidades (DIVD) descobriram uma grande campanha que plantou webshells em servidores Citrix NetScaler vulneráveis ao
CVE-2023-3519
.
Embora a vulnerabilidade tenha recebido um patch em 18 de julho, os hackers começaram a explorá-la como um zero-day para executar código sem autenticação.
Em 21 de julho, a Agência de Segurança de Cibersegurança e Infraestrutura (CISA) alertou que a vulnerabilidade havia sido usada para violar uma organização de infraestrutura crítica nos EUA.
No início deste mês, a organização sem fins lucrativos The Shadowserver Foundation descobriu que os hackers haviam infectado mais de 640 servidores Citrix NetScaler e plantado web shells para acesso remoto e persistência.
Nos últimos dois meses, a Fox-IT respondeu a vários incidentes relacionados à exploração do
CVE-2023-3519
e descobriu servidores comprometidos com vários webshells.
Usando os detalhes sobre o backdoor, a Fox-IT e o DIVD foram capazes de varrer a internet em busca de dispositivos que tinham as webshells instaladas.
Administradores podem reconhecer seus scans verificando os logs de acesso HTTP Citrix pelo user-agent: DIVD-2023-00033.
Inicialmente, as varreduras consideraram apenas sistemas vulneráveis, mas depois se expandiram para instâncias Citrix que receberam a atualização para resolver o
CVE-2023-3519
.
Isso revelou 1.952 servidores NetScaler comprometidos com os mesmos webshells que a Fox-IT encontrou durante os incidentes de resposta, indicando que o adversário usou um método automatizado para explorar a vulnerabilidade em larga escala.
Em um contexto maior, os 1.952 servidores violados representam mais de 6% das 31.127 instâncias Citrix NetScaler vulneráveis ao
CVE-2023-3519
a nível global quando a campanha estava ativa.
Dos servidores comprometidos descobertos, a Fox-IT diz que 1.828 permaneceram violados em 14 de agosto e que 1.247 foram corrigidos após os hackers plantarem as webshells.
Em 10 de agosto, a Fox-IT e o DIVD começaram a contatar organizações, diretamente ou por meio de CERTs nacionais, sobre instâncias NetScaler comprometidas em sua rede.
Ontem, o maior número de servidores Citrix NetScaler comprometidos, tanto corrigidos quanto não corrigidos, estava na Alemanha, seguido pela França e Suíça.
A Fox-IT diz que a Europa é a mais afetada, destacando que dos 10 países mais afetados, apenas dois são de uma região diferente do mundo.
Outro detalhe que os pesquisadores observaram é que, enquanto Canadá, Rússia e EUA tinham milhares de servidores NetScaler vulneráveis em 21 de julho, eles encontraram webshells comprometedoras em quase nenhum deles.
A Fox-IT diz que o número de servidores Citrix NetScaler afetados está diminuindo, mas ainda há muitas instâncias comprometidas.
Os pesquisadores alertam que um servidor NetScaler corrigido ainda pode ter um backdoor e recomendam que os administradores realizem uma triagem básica em seus sistemas.
Eles fornecem um script Python que usa o kit de ferramentas de resposta a incidentes e forense Dissect.
A Mandiant também lançou um scanner que procura por indicadores de compromisso relacionados a ataques explorando o
CVE-2023-3519
.
No entanto, os pesquisadores advertem que a execução deste script bash duas vezes resulta em falsos positivos porque "certas pesquisas são escritas nos logs do NetScaler sempre que o script é executado".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...