Security Affairs 网站披露,IBM X-Force 钻研人员发现要挟攻打者正在应用 Citrix NetScaler 网关存在的CVE-2023-3519 破绽(CVSS评分:9.8),展开大规模的凭证搜集优惠。
2023 年 7 月底,Citrix 正告客户 NetScaler 运行交付控制器(ADC)和网关中存在的 CVE-2023-3519 破绽正在被恶意应用。据悉,该破绽是一个代码注入破绽,可造成未阅历证的远程代码口头。
美国网络安保和基础设备安保局(CISA)也曾针对 CVE-2023-3519 收回过警示。CISA 泄漏要挟攻打者正在应用该破绽在易受攻打的系统上投放 Web 外壳,其目的或者是部署在关键基础设备组织网络中的 NetScaler ADC 设备。
一个月后,非营利组织 Shadowserver Foundation 安保钻研人员指出数百台 Citrix Netscaler ADC 和网关主机已被网络攻打者破坏。
要挟攻打者正在“踊跃”应用破绽
X-Force 在为一个客户端启动事情照应优惠时发现上述网络攻打优惠。客户端报告称在 NetScaler 装置时身份验证缓慢,攻打者应用该破绽将恶意 Javascript 注入设备“index.html”登录页。
尔后,X-Force 在颁布的报告中示意附加到非法 "index.html "文件的脚本会加载一个额外远程 JavaScript 文件,该文件会将一个函数附加到 VPN 身份验证页面中的 "登录 "元素,该函数则会搜集用户名和明码消息,并在身份验证时期将其发送到远程主机。
值得一提的是,攻打链从要挟攻打者向"/gwtest/formssso? event=start&target="发送网络恳求时便曾经开局了,触发 CVE-2023-3519 破绽后,在 /netscaler/ns_gui/vpn 写入一个便捷的 PHP web shell,一旦受益目的设备部署了 PHP web shell,攻打者就会检索设备上 "ns.conf "文件的内容。
而后,攻打者在 "index.html "中减少自定义 HTML 代码,该代码援用了托管在攻打者控制的基础架构上的远程 JavaScript 文件。
附加到 "index.html "的 JavaScript 代码检索并口头后,会将一个自定义函数附加到身份验证页面上的 "Log_On "按钮,恶意代码随及就能够搜集身份验证表单中的数据(包括凭据),并经过 HTTP POST 方法将其发送到远程主机。
X-Force 安保钻研人员发现本次网络攻打优惠中还经常使用了多个域名,这些域名区分于 8 月 5 日、6 日和 14 日注册,并应用 Cloudflare 覆盖了域名的托管地。在安保钻研人员确定要挟攻打者经常使用的 C2 基础设备后,确定了近 600 个惟一的受益者 IP 地址,这些地址托管着修正过的 NetScaler Gateway 登录页面。
剖析显示,大少数受益者散布在美国和欧洲地域,只管目前钻研人员不可将这一优惠与任何已知要挟组织咨询起来,但曾经提取到了入侵目的(IoCs)。