IoCs, IR e consultoria de mitigação
O ataque foi relatado à CISA e à Citrix em julho de 2023, e a Citrix anunciou correções para ele em 18 de julho.
O boletim de segurança mencionou que “foram observadas explorações de CVE-2023-3519 em dispositivos não mitigados”, mas nenhum detalhe adicional sobre os ataques ou como verificar se uma organização foi alvo foi compartilhado publicamente.
Uma lista de indicadores de comprometimento (IoCs) foi compartilhada com organizações selecionadas, sob o entendimento de que as informações não seriam amplamente compartilhadas (ou seja, que o conteúdo seria restrito a essas organizações e compartilhado com seus clientes “com base na necessidade de conhecimento”).
“Conforme ouvimos da comunidade Citrix, mais e mais sistemas atacados estão sendo encontrados. As primeiras explorações também estão disponíveis para compra na dark web há algum tempo”, disse o consultor de TI alemão Manuel Winkel em 19 de julho.
Ele compartilhou conselhos sobre como verificar se a organização de alguém foi atingida e aconselhou sobre o que fazer se o resultado for positivo.
O comunicado da CISA oferece mais detalhes sobre a atividade do agente de ameaça no ataque detectado na organização de infraestrutura crítica, delineia métodos de detecção de ataque e oferece conselhos sobre resposta a incidentes se o comprometimento for detectado.
Exploração selvagem de CVE-2023-3519
A Greynoise criou uma tag para mostrar a investigação em estado selvagem de plataformas NetScaler ADC voltadas para a Internet e gateways com tentativas de autenticação por meio do CVE-2023-3519, mas até agora não houve detecções.
Scripts autônomos e Nmap para identificar instalações vulneráveis foram publicados no GitHub .
Se o que Winkel diz é verdade – ou seja, que os primeiros exploits para CVE-2023-3519 estão disponíveis para compra na dark web há algum tempo – é possível que existam muitas organizações comprometidas por aí que não conseguiram bloquear o movimento lateral dos atacantes.
Atualmente, é impossível dizer qual é o objetivo final dos invasores, mas as organizações afetadas podem descobri-lo em breve se não reagirem rapidamente.
ATUALIZAÇÃO (22 de julho de 2023, 10h55 ET):
As análises técnicas da falha agora são públicas e os agentes de ameaças podem usá-las para criar uma exploração confiável em breve. Repare rapidamente!
Com base em sua análise de um dispositivo comprometido, a Mandiant também publicou suas próprias descobertas relacionadas a ataques in-the-wild, junto com remediação, fortalecimento e conselhos sobre caça a ameaças.
FONTE: HELP NET SECURITY