Mais de 640 servidores Citrix Netscaler ADC e Gateway foram violados e alvos de instalação de backdoor em uma série de ataques direcionados a uma vulnerabilidade crítica de execução remota de código (RCE) rastreada como CVE-2023-3519. A falha foi explorada anteriormente como um dia zero para violar a rede de uma organização de infraestrutura crítica dos EUA.
Pesquisadores de segurança da Shadowserver Foundation, organização sem fins lucrativos dedicada a melhorar a segurança da Internet, revelaram que os invasores implantaram shells da web nos servidores Citrix. “Podemos dizer que é um China chopper razoavelmente padrão, mas não queremos divulgar mais nessas circunstâncias. Posso dizer que a quantidade que detectamos é muito menor do que a quantidade que acreditamos estar por aí, infelizmente”, disse Piotr Kijewski, CEO da Shadowserver, ao BleepingComputer.
“Relatamos dispositivos comprometidos com webshells em sua rede [640 em 30/07/2023]. Estamos cientes da exploração generalizada que já está acontecendo desde 20 de julho”, disse a Shadowserver em sua lista de discussão pública. “Se sua empresa não corrigiu até então, por favor, assuma o compromisso. Acreditamos que a quantidade real de webshells relacionados ao CVE-2023-3519 seja muito maior que 640.”
Cerca de duas semanas atrás, a contagem de dispositivos Citrix vulneráveis a ataques ao CVE-2023-3519 era de cerca de 15 mil. No entanto, esse número caiu para menos de 10 mil, indicando algum progresso na mitigação da vulnerabilidade.
Veja isso
Citrix corrige falhas no Workspace, Virtual Apps e Desktops
Hackers estão explorando bug de dia zero no Citrix ADC e Gateway
A Citrix lançou atualizações de segurança em 18 de julho para resolver a vulnerabilidade RCE, reconhecendo que exploits foram observados em dispositivos vulneráveis e instando os clientes a instalar os patches sem demora. A vulnerabilidade afeta principalmente dispositivos Netscaler sem patch configurados como gateways (servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy) ou servidores virtuais de autenticação (servidor AAA).
Além de abordar o CVE-2023-3519, a Citrix também corrigiu duas outras vulnerabilidades de alta gravidade no mesmo dia, CVE-2023-3466 e CVE-2023-3467, que poderiam ser exploradas para ataques de script entre sites (XSS) refletidos e escalonamento de privilégios para root.
Gangues de ransomware, incluindo REvil e DoppelPaymer, tiraram proveito de vulnerabilidades semelhantes do Citrix Netscaler ADC e Gateway para violar redes corporativas em ataques anteriores. Isso reforça a necessidade premente de as equipes de segurança tornarem a correção de servidores Citrix uma prioridade em suas listas de tarefas.
