Citrix NetScaler ADC e NetScaler Gateway correm maior risco de ataques oportunistas por parte de um grupo de ransomware provavelmente ligado ao ator de ameaça FIN8 com motivação financeira.
A vulnerabilidade crítica de injeção de código está sendo rastreada como CVE-2023-3519 e afeta várias versões das tecnologias de entrega de aplicativos, balanceamento de carga e acesso remoto da Citrix.
Os produtos NetScaler são alvos populares de invasores devido ao acesso altamente privilegiado que fornecem às redes visadas. Muitas organizações implantaram tecnologias de gateway como essas para permitir acesso seguro a aplicativos e dados corporativos para trabalhadores remotos.
Execução remota de código não autenticado
CVE-2023-3519 permite que um invasor remoto não autenticado execute código arbitrário nos sistemas afetados e tem uma classificação de gravidade quase máxima de 9,8 em 10 na escala de classificação de vulnerabilidade CVSS. Os invasores podem explorar a vulnerabilidade em qualquer sistema NetScaler afetado que uma organização possa ter configurado como um servidor virtual VPN, proxy ICA, proxy RDP ou servidor de autenticação, autorização e contabilidade (AAA).
A Citrix divulgou a falha pela primeira vez em 18 de julho, em meio a atividades de exploração ativa, e recomendou que as organizações atualizassem imediatamente seus sistemas para versões corrigidas do software. Desde essa divulgação, vários fornecedores relataram observar atividades maliciosas direcionadas à falha.
Uma delas, a Sophos, disse na semana passada que observou um agente de ameaça usando a vulnerabilidade como “uma ferramenta de injeção de código para conduzir um ataque em todo o domínio” em meados de agosto.
A cadeia de ataque incluiu o agente da ameaça injetando cargas maliciosas em “wuauclt.exe”, um processo legítimo associado ao cliente Windows Update, e em “wmiprvse.exe”, o processo host do serviço Windows Management Instrumentation (WMI). A Sophos disse que sua análise também mostrou que o agente da ameaça usou scripts PowerShell altamente ofuscados como parte do ataque e lançou vários shells PHP Web nomeados aleatoriamente nos sistemas das vítimas. Esses shells da Web oferecem aos adversários uma maneira de executar remotamente comandos no nível do sistema em servidores da Web.
Link potencial para o grupo de ameaças FIN8
A Sophos disse que as táticas, técnicas e procedimentos (TTP) que o ator da ameaça usou nos ataques de meados de agosto eram semelhantes aos TTPs observados em ataques anteriores neste verão que não envolviam o CVE-2023-3519. As semelhanças incluíam o uso da mesma infraestrutura maliciosa e serviços de hospedagem, scripts incomuns do PowerShell e o uso do protocolo PuTTY Secure Copy para transferências de arquivos. A Sophos concluiu que um conhecido agente de ameaças especializado em distribuição de ransomware provavelmente está por trás dos ataques mais recentes.
“A Sophos observou sobreposições nesta atividade consistentes com outras atividades publicadas atribuídas ao FIN8”, disse Christopher Budd, diretor de inteligência de ameaças da Sophos. “Conforme descrito no tópico do Sophos X-Ops nesta campanha, vimos ataques no início deste verão, antes do uso da vulnerabilidade Citrix, com a vulnerabilidade Citrix incorporada em meados de agosto.”
FIN8 é um conhecido grupo de ameaças com motivação financeira que está operacional desde pelo menos 2016. Ele tem sido associado a vários ataques a organizações em vários setores, incluindo tecnologia, serviços financeiros, varejo e hotelaria. O grupo ressurgiu em julho após uma relativa calmaria, desta vez em uma campanha para distribuir o ransomware BlackCat . “A Sophos acredita que estes ataques são de natureza oportunista, com a atividade refletindo que este é um grupo bem estabelecido que emprega novas ferramentas”, diz Budd.
Verifique se há IoCs mesmo se corrigido
O relatório da Sophos é um entre vários nas últimas semanas que narram atividades maliciosas direcionadas aos produtos Citrix ADC e Gateway. No início de agosto, a Fox-IT relatou ter observado mais de 1.900 dispositivos Citrix NetScaler em todo o mundo que haviam sido alvo de backdoor em uma campanha de exploração em massa. A Fox-IT avaliou que o autor da ameaça explorou o CVE-2023-3519 de maneira oportunista, usando um script que procurava dispositivos vulneráveis e colocava um shell da Web neles. “O adversário pode executar comandos arbitrários com este webshell, mesmo quando um NetScaler é corrigido e/ou reinicializado”, alertou Fox-IT. “No momento em que este artigo foi escrito, mais de 1.900 NetScalers permaneciam com backdoor.”
O fornecedor de segurança recomenda que as organizações façam uma verificação do indicador de comprometimento nos dispositivos NetScaler, mesmo que tenham aplicado o patch da Citrix para a falha.
Em 7 de agosto, a organização sem fins lucrativos Shadowserver Foundation , que rastreia e monitora atividades maliciosas na Internet, disse ter identificado pelo menos três campanhas separadas direcionadas ao CVE-2023-3519. Duas das campanhas envolveram o ator da ameaça lançando um shell PHP da Web em um host vulnerável, enquanto a terceira envolveu o invasor executando comandos maliciosos no nível raiz por meio de um shell da Web. A Fundação disse que sua telemetria mostrou pelo menos 7.000 hosts NetScaler em todo o mundo vulneráveis à exploração na época.
Em julho, logo após a Citrix divulgar a falha, a Agência de Segurança Cibernética e de Infraestrutura dos EUA também divulgou um comunicado detalhado , que incluía os TTPs do ator da ameaça e métodos para detectar atividades de exploração.
FONTE: DARKREADING