Um operador de ameaça automatizou a exploração de uma vulnerabilidade recente da Citrix e infectou cerca de 2 mil instâncias do NetScaler com uma backdoor, informou a empresa britânica de garantia de informações NCC Group. Rastreada como CVE-2023-3519, a vulnerabilidade crítica foi divulgada no mês passado como dia zero, sendo explorada desde junho, inclusive em ataques contra organizações que operam infraestruturas críticas.
O NetScaler é um appliance de entrega de aplicativos web que, segundo a fabricante, faz com que estes rodem cinco vezes melhor ao assegurar a disponibilidade do aplicativo pelo gerenciamento avançado de tráfego e que traz um firewall de aplicativos integrado.
A vulnerabilidade permite que invasores remotos executem código arbitrário em dispositivos vulneráveis Citrix Application Delivery Controller (ADC) e Gateway configurados como um gateway ou servidor virtual AAA.
Aproximadamente uma semana depois de a Citrix ter lançado patches para o bug, a empresa de segurança cibernética Bishop Fox alertou que havia identificado mais de 20 mil dispositivos marca vulneráveis a uma nova exploração.
Agora, o NCC Group diz ter observado uma campanha de exploração automatizada na qual mais de 1.950 instâncias do NetScaler foram comprometidas, representando aproximadamente 6,3% dos 31 mil dispositivos vulneráveis identificados no início da campanha de exploração.
A empresa identificou cerca de 2.500 webshells nas instâncias comprometidas e diz que mais de 1.800 deles permanecem infectados. A partir dia 10 deste mês, o Dutch Institute of Vulnerability Disclosure passou a notificar as organizações afetadas, informando sobre as descobertas do NCC Group.
Mais preocupante, diz a empresa de segurança cibernética, é que cerca de 69% das infecções ocorreram antes que as organizações afetadas aplicassem o patch fornecido. No entanto, a backdoor não foi removida. “Isso indica que, embora a maioria dos administradores estivesse ciente da vulnerabilidade e, desde então, tenham corrigido seus NetScalers para uma versão não vulnerável, eles não foram devidamente verificados em busca de sinais de exploração bem-sucedida”, diz o NCC Group.
Veja isso
Mais de 640 servidores Citrix são violados em ataques contínuos
Hackers estão explorando bug de dia zero no Citrix ADC e Gateway
O grande número de instâncias do NetScaler infectadas antes de serem corrigidas também mostra que a campanha de exploração em massa ocorreu na mesma época em que a Citrix lançou as correções.
“A alta porcentagem de NetScalers corrigidos que receberam backdoor provavelmente é resultado da época em que ocorreu a exploração em massa. A partir dos casos de resposta a incidentes, podemos confirmar a estimativa anterior do Shadowserver de que essa campanha de exploração específica ocorreu entre o final de 20 de julho e o início de 21 de julho”, observa o NCC Group.
A Mandiant lançou na segunda-feira, 14, uma ferramenta para ajudar as organizações a escanear seus dispositivos Citrix em busca de evidências de atividades pós-exploração relacionadas ao CVE-2023-3519. A empresa, de propriedade do Google, diz que a ferramenta, disponível no GitHub, contém indicadores de comprometimento (IoCs) coletados durante as investigações da fornecedora e obtidos em outros lugares.
A maioria das infecções identificadas está na Europa, com a Alemanha, França e Suíça sendo as mais afetadas. Japão e Itália completam os cinco primeiros. Canadá, Rússia e Estados Unidos praticamente não têm instâncias NetScaler infectadas.