Durante una campaña a gran escala, los piratas informáticos comprometieron alrededor de 2,000,000 servidores Citrix NetScaler utilizando una vulnerabilidad RCE crítica para esto. CVE-2023-3519 (9,8 puntos en la escala CVSS). Los países europeos fueron los que más sufrieron estos ataques.
Expertos de la empresa de seguridad de la información Fox-IT El Instituto holandés para la detección de vulnerabilidades (DIVD) descubrió una campaña maliciosa a gran escala para instalar shells web en servidores Citrix Netscaler vulnerables a CVE-2023-3519, que se descubrió y corrigió en julio de 2023.
Poco después de que se descubriera este error, la Agencia de Protección de Infraestructura y Ciberseguridad de EE. UU. (CISA) informó explotación error para implementar shells web. Poco después, la Fundación Shadowserver estimó que al usar CVE-2023-3519, los atacantes implementaron shells web en al menos 640 servidores Citrix vulnerables.
Como informa ahora Fox-IT, en los últimos meses, la empresa se ha encontrado repetidamente con incidentes relacionados con la explotación de CVE-2023-3519 y ha encontrado servidores comprometidos por varios shells web a la vez.
Usando información sobre estas puertas traseras, Fox-IT y DIVD escanearon Internet en busca de dispositivos que ejecutan estos shells web. Cabe señalar que los administradores pueden reconocer dichos análisis comprobando los registros de acceso HTTP para el agente de usuario DIVD-2023-00033.
Inicialmente, solo se tuvieron en cuenta los sistemas vulnerables durante el escaneo, pero luego los investigadores también revisaron aquellos sistemas que recibieron un parche para eliminar CVE-2023-3519. Al final, se descubrieron 1952 servidores NetScaler con los mismos shells web que Fox-IT había identificado durante la respuesta al incidente.
El informe señala que, a partir del 14 de agosto de 2023, todavía había puertas traseras presentes en 1828 servidores. Al mismo tiempo, 1247 servidores aún recibieron parches, pero esto sucedió después de que los piratas informáticos introdujeran shells web.
Fox-IT y DIVD ya se están comunicando con organizaciones directamente oa través de CERT nacionales para informarles sobre servidores NetScaler comprometidos en sus redes.
La mayor cantidad de servidores Citrix NetScaler pirateados (tanto con parches como sin parches) se encontraron en Alemania, Francia y Suiza.
Los países de Europa en su conjunto han sufrido estos ataques más que otros: los 10 principales países atacados incluyen solo dos países de otras regiones del mundo. Al mismo tiempo, a pesar de que se detectaron miles de servidores NetScaler vulnerables en Canadá, Rusia y Estados Unidos, no se encontraron shells web maliciosos en ninguno de ellos.
Fox-IT concluye que la cantidad de servidores Citrix NetScaler vulnerables está disminuyendo, pero es demasiado pronto para hablar sobre el “ocaso” de esta vulnerabilidad. Además, resultó que incluso un servidor NetScaler parcheado puede contener una puerta trasera, por lo que se recomienda a los administradores que verifiquen sus sistemas. Con este fin, los expertos publicaron un especial secuencia de comandos de Python.
también propio escánerque busca indicadores de compromiso asociados con ataques a CVE-2023-3519, fue lanzado recientemente por especialistas de Mandiant.
2023-08-16 10:30:36
#Más #servidores #Citrix #NetScaler #infectados #con #puerta #trasera #Hacker,
Leave a Reply