Bir tehdit oyuncusu, CVE-2023-3519 olarak izlenen eleştirel-şiddetli uzaktan kumanda yürütmesinden yararlanan büyük bir kampanyada 2.000 bin Citrix NetScaler sunucularını tehlikeye attı.
Araştırmacılar, yöneticilerin güvenlik açığı için yamayı kurmadan ve başarılı bir şekilde kullanılma belirtileri açısından kontrol edilmedikleri için tehlikeye atılmaya devam etmeden önce 1.200'den fazla sunucu geri alındı.
Siber güvenlik şirketi FOX-IT (NCC grubunun bir parçası) ve Hollanda Güvenlik Açığı Açıklama Enstitüsü (DIVD), CVEIX Netscaler sunucularına CVE-2023-3519'a karşı savunmasız olan büyük ölçekli bir kampanya keşfetti.
Güvenlik açığı 18 Temmuz'da bir yama almasına rağmen, bilgisayar korsanları, kimlik doğrulaması yapmadan kod yürütmek için sıfır gün olarak vahşi doğada sömürmeye başladı.
21 Temmuz'da Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), ABD'de kritik bir altyapı organizasyonunu ihlal etmek için kırılganlığın kaldırıldığı konusunda uyardı.
Bu ayın başlarında, kâr amacı gütmeyen Shadowserver Vakfı, bilgisayar korsanlarının 640'dan fazla Citrix NetScaler sunucularını enfekte ettiğini ve uzaktan erişim ve kalıcılık için web mermilerini eklediğini buldu.
Son iki ay boyunca, FOX-IT, CVE-2023-3519 sömürüsü ile ilgili birden fazla olaya yanıt verdi ve çeşitli web kabuklarıyla tehlikeye atılan sunucular keşfetti.
Backroors ile ilgili ayrıntıları kullanarak, Fox-It ve Divd, web kabukları yüklü cihazlar için interneti tarayabildi. Yöneticiler, kullanıcı ajanı için Citrix HTTP erişim günlüklerini kontrol ederek taramalarını tanıyabilir: DIVD-2023-00033.
Başlangıçta, taramalar yalnızca savunmasız sistemleri değerlendirdi, ancak daha sonra CVE-2023-3519'u ele almak için güncelleme alan Citrix örneklerine genişledi.
Bu, olay tepkisi etkileşimleri sırasında bulunan Fox-It'in aynı web kabuklarıyla geri yüklenen 1.952 NetScaler sunucusunun ortaya çıktığını, rakiplerin güvenlik açığını büyük ölçekte kullanmak için otomatik bir yöntem kullandığını gösterdi.
Daha geniş bir bağlamda, 1.952 backdoed sunucu, kampanya aktif olduğunda küresel düzeyde CVE-2023-3519'a karşı savunmasız 31.127 Citrix NetScaler örneklerinin% 6'sından fazlasını temsil ediyor.
Keşfedilen tehlikeye atılan sunuculardan Fox-It, 14 Ağustos'ta 1.828'in geri yüklendiğini ve bilgisayar korsanları web kabuklarını diktikten sonra 1.247'nin yamalandığını söylüyor.
10 Ağustos'ta Fox-It ve Divd, doğrudan veya ulusal sertifikalar aracılığıyla kuruluşlara ağlarındaki tehlikeye atılmış NetScaler örnekleri hakkında ulaşmaya başladı.
Dün, hem yamalı hem de açılmamış olan en fazla tehlikeye atılan Citrix NetScaler sunucuları Almanya'daydı, ardından Fransa ve İsviçre izledi.
Tilki-Avrupa'nın en çok etkilenen ilk 10 ülkenin olduğunu vurgulayan, sadece ikisi dünyanın farklı bir bölgesinden olduğunu söylüyor.
Araştırmacıların gözlemlediği bir başka detay, Kanada, Rusya ve ABD'nin 21 Temmuz'da binlerce savunmasız NetScaler sunucusu olmasına rağmen, neredeyse hiçbirinde uzlaşmacı web mermileri bulduklarıdır.
Fox-It, etkilenen Citrix NetScaler sunucularının sayısının azaldığını, ancak yine de çok sayıda tehlikeye atılmış örnek olduğunu söylüyor.
Araştırmacılar, yamalı bir NetScaler sunucusunun hala bir arka kapıya sahip olabileceği ve yöneticilerin sistemlerinde temel triyaj yapmasını önerdikleri konusunda uyarıyorlar.
Diskect adli tıp ve olay yanıt araç setini kullanan bir python betiği sağlarlar.
Mantiant ayrıca CVE-2023-3519'dan yararlanan saldırılarla ilgili uzlaşma göstergelerini arayan bir tarayıcı yayınladı. Bununla birlikte, araştırmacılar, bu bash betiğini iki kez çalıştırmanın yanlış pozitiflerle sonuçlandığı için, "komut dosyası çalıştığında NetScaler günlüklerine yazıldığı için" yanlış pozitiflerle sonuçlandığını söyledi.
Yeni Kritik Citrix ADC ve Gateway Kususu Sıfır Gün olarak sömürüldü
Yeni CVE-2023-3519 Tarayıcı Hacked Citrix ADC, Ağ Geçidi Cihazları Algıladı
NetScaler ADC Hata Bize kritik altyapı orgunu ihlal etmek için sömürüldü
640'dan fazla Citrix sunucusu, devam eden saldırılarda web mermileriyle geri çekildi
CVE-2023-3519 RCE saldırılarına karşı savunmasız 15k'den fazla Citrix sunucusu
Kaynak: Bleeping Computer