0
0
Os administradores dos dispositivos Citrix NetScaler ADC e Gateway devem verificar se há evidências de webshells instalados, mesmo que tenham implementado correções para CVE-2023-3519 rapidamente: foi corrigido para a falha.
“Isso indica que, embora a maioria dos administradores estivesse ciente da vulnerabilidade e, desde então, corrigisse seus NetScalers para uma versão não vulnerável, eles não foram (devidamente) verificados quanto a sinais de exploração bem-sucedida”, observaram os pesquisadores.
CVE-2023-3519 explorado para descartar webshells em dispositivos NetScaler
CVE-2023-3519 é uma vulnerabilidade de execução remota de código (RCE) não autenticada que foi corrigida pela Citrix em 18 de julho, mas não antes de ter sido explorada como um dia zero em ataques direcionados contra uma organização de infraestrutura crítica nos EUA.
Como descobriram várias organizações envolvidas em ações de resposta a incidentes (IR) em empresas comprometidas, a vulnerabilidade foi posteriormente explorada em grande escala de maneira automatizada.
Em colaboração com o Dutch Institute of Vulnerability Disclosure, os pesquisadores da Fox-IT examinaram a Internet para identificar dispositivos que executam os webshells específicos usados nesses ataques e os encontraram em 1.828 instâncias. 1.248 desses aparelhos foram corrigidos para CVE-2023-3519.
“Inicialmente, verificamos apenas os sistemas que não foram corrigidos em 21 de julho, pois acreditava-se que a exploração ocorreu entre 20 e 21 de julho. Mais tarde, decidimos também escanear os sistemas que já foram corrigidos em 21 de julho. Os resultados superaram nossas expectativas. Com base na varredura da Internet, aproximadamente 2.000 endereços IP exclusivos parecem ter sido backdoored com um webshell desde 9 de agosto”, explicaram.
O interessante sobre esse ataque automatizado em massa é que os invasores não comprometeram todos os (cerca de 31.000) dispositivos NetScaler vulneráveis em 21 de julho, mas apenas 1.952 deles – e a maioria desses dispositivos está localizada na Europa.
Os 20 principais países com dispositivos Citrix NetScaler com backdoor em 14 de agosto de 2023 (Fonte: Fox-IT)
“Embora o Canadá, a Rússia e os Estados Unidos da América tivessem milhares de NetScalers vulneráveis em 21 de julho, praticamente nenhum desses NetScalers foi encontrado com um webshell. Até o momento, não temos uma explicação clara para essas diferenças, nem temos uma hipótese confiável para explicar quais NetScalers foram alvo do adversário e quais não foram. Além disso, não vemos uma segmentação específica em termos de indústria de vítimas”, acrescentaram os pesquisadores.
Ferramentas para usar para procurar IOCs
Independentemente de terem corrigido o CVE-2023-3519 nos dispositivos que gerenciam ou não, a Fox-IT está pedindo aos administradores corporativos que verifiquem novamente se há evidências de comprometimento usando:
- Um script Python criado pela Fox-IT para realizar triagem em imagens forenses de dispositivos NetScaler e
- Bash-script do Mandiant que exibe indicadores associados de comprometimento (IOCs) em sistemas ativos
“Se forem descobertos vestígios de comprometimento, proteja os dados forenses”, aconselharam .
“Se um webshell for encontrado, investigue se ele foi usado para realizar atividades. O uso do webshell deve estar visível nos logs de acesso do NetScaler. Se houver indícios de que o webshell tenha sido utilizado para realizar atividades não autorizadas, é fundamental realizar uma investigação mais ampla, para identificar se o adversário conseguiu realizar alguma ação para se deslocar lateralmente do NetScaler, em direção a outro sistema da sua infraestrutura.”
FONTE: HELP NET SECURITY