1
0
Mais de 640 servidores Citrix Netscaler ADC e Gateway foram violados e alvos de instalação de backdoor em uma série de ataques direcionados a uma vulnerabilidade crítica de execução remota de código (RCE) rastreada como CVE-2023-3519. A falha foi explorada anteriormente como um dia zero para violar a rede de uma organização de infraestrutura crítica dos EUA.
Pesquisadores de segurança da Shadowserver Foundation, organização sem fins lucrativos dedicada a melhorar a segurança da Internet, revelaram que os invasores implantaram shells da web nos servidores Citrix. “Podemos dizer que é um China chopper razoavelmente padrão, mas não queremos divulgar mais nessas circunstâncias. Posso dizer que a quantidade que detectamos é muito menor do que a quantidade que acreditamos estar por aí, infelizmente”, disse Piotr Kijewski, CEO da Shadowserver, ao BleepingComputer.
“Relatamos dispositivos comprometidos com webshells em sua rede [640 em 30/07/2023]. Estamos cientes da exploração generalizada que já está acontecendo desde 20 de julho”, disse a Shadowserver em sua lista de discussão pública. “Se sua empresa não corrigiu até então, por favor, assuma o compromisso. Acreditamos que a quantidade real de webshells relacionados ao CVE-2023-3519 seja muito maior que 640.”
Cerca de duas semanas atrás, a contagem de dispositivos Citrix vulneráveis a ataques ao CVE-2023-3519 era de cerca de 15 mil. No entanto, esse número caiu para menos de 10 mil, indicando algum progresso na mitigação da vulnerabilidade.
A Citrix lançou atualizações de segurança em 18 de julho para resolver a vulnerabilidade RCE, reconhecendo que exploits foram observados em dispositivos vulneráveis e instando os clientes a instalar os patches sem demora. A vulnerabilidade afeta principalmente dispositivos Netscaler sem patch configurados como gateways (servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy) ou servidores virtuais de autenticação (servidor AAA).
Além de abordar o CVE-2023-3519, a Citrix também corrigiu duas outras vulnerabilidades de alta gravidade no mesmo dia, CVE-2023-3466 e CVE-2023-3467, que poderiam ser exploradas para ataques de script entre sites (XSS) refletidos e escalonamento de privilégios para root.
Gangues de ransomware, incluindo REvil e DoppelPaymer, tiraram proveito de vulnerabilidades semelhantes do Citrix Netscaler ADC e Gateway para violar redes corporativas em ataques anteriores. Isso reforça a necessidade premente de as equipes de segurança tornarem a correção de servidores Citrix uma prioridade em suas listas de tarefas.
FONTE: CISOADVISOR