0
0
Vários grupos de ameaças estão explorando ativamente uma vulnerabilidade crítica nos produtos de rede Citrix. Três semanas depois que a Citrix lançou um patch para seu NetScaler ADC e NetScaler Gateway, os pesquisadores dizem que cerca de 7.000 instâncias permanecem expostas na Web. Desses, cerca de 460 têm shells da Web instalados, provavelmente devido a comprometimento.
Em 18 de julho, a empresa de computação em nuvem Citrix publicou um patch para CVE-2023-3519 , uma vulnerabilidade “crítica” de 9,8 CVSS de dia zero, que permite a execução remota de código (RCE) não autenticada no controlador de entrega de aplicativos (ADC) NetScaler da Citrix. e produtos de gateway.
Desde que o patch foi lançado, vários pesquisadores demonstraram como a vulnerabilidade pode ser explorada . E os invasores – raramente conhecidos por perder uma oportunidade – pularam para aproveitar a falha, instalando centenas de shells da web dentro de redes corporativas e já realizando dezenas de exploits .
Ainda assim, de acordo com dados da Shadowserver Foundation , milhares de instâncias NetScaler expostas ainda não foram corrigidas e muitas organizações permanecem à mercê de invasores que estão instalando web shells e executando comandos em redes internas à vontade.
“É um caso complexo, já que o Citrix é usado em muitas organizações proeminentes”, diz Piotr Kijewski, CEO da Shadowserver. “Vimos alguns grandes nomes que ainda estavam vulneráveis até alguns dias atrás, incluindo hospitais – esse tipo de instituição importante. Portanto, as possíveis consequências podem ser grandes, se alguém atacar essas organizações com ransomware daqui a um mês.”
Os atacantes se movem mais rápido que os defensores
No pico, o Shadowserver rastreou quase 18.000 instâncias expostas e sem patches de NetScaler ADC e IPs de gateway. Esse número vem caindo constantemente, mas não rapidamente, já que quase 7.000 permanecem hoje, localizados principalmente na América do Norte (2.794) e na Europa (2.670).
Durante semanas, os pesquisadores documentaram casos de hackers que estão comprometendo ativamente esses dispositivos de rede expostos. Apenas 10 dias após a divulgação inicial, o Shadowserver descobriu quase 700 shells da Web instalados em IPs NetScaler e presume-se que estejam associados a instâncias de comprometimentos CVE-2023-3159. Desde então, esse número caiu, mas apenas 33%.
Onde os compromissos iniciais centrados principalmente na região da UE (Alemanha, Suíça, Itália e França foram os principais alvos), a esmagadora maioria dos IPs ainda expostos na segunda-feira residem nos Estados Unidos – 2.600 no total, em comparação com 630 na Alemanha e 425 em o Reino Unido.
Enquanto isso, os honeypots do Shadowserver registraram um aumento no número de tentativas de exploração ativas , com uma dezena de casos apenas no domingo.
O que fazer
Kijewski prevê que haverá mais compromissos por vir – tanto para este CVE quanto para outros semelhantes no futuro. Ele aponta para a vulnerabilidade de transferência de arquivos MOVEit desta primavera como um modelo.
“Atores de ameaças – sejam grupos criminosos ou patrocinados pelo Estado – estão dedicando tempo, dinheiro, recursos e habilidades para isso”, explica ele. “Houve uma mudança no ano passado. Os exploits costumavam estar mais nas mãos de atores estatais bem financiados ou de pesquisadores que lançavam um exploit e então todo mundo entrava na onda. Agora até mesmo os grupos criminosos parecem estar interessado em vulnerabilidades realmente direcionadas e revertê-las, especificamente contra o código que geralmente é executado em grandes organizações.”
Além da correção (que pode ser tarde demais, em muitos casos), o Shadowserver aconselha que os clientes da Citrix envolvam suas equipes de resposta a incidentes e, se comprometidos, configurem um novo sistema do zero ou reiniciem a partir de um backup ou instantâneo seguro. Os shells da Web de hoje, eles enfatizam, serão os ataques cibernéticos de amanhã.
“Esperamos que esses webshells sejam utilizados quando o tempo for adequado ao invasor”, escreveu o Shadowserver em sua última atualização. “Isso também pode acontecer depois que todo o interesse inicial tiver diminuído e os administradores de sistema/responsáveis de segurança não estiverem mais olhando atentamente para seus dispositivos Citrix. Certifique-se de consertar seu dispositivo Citrix antes que o invasor faça isso por você.”
FONTE: DARKREADING