主要要点- NetScaler中的一组漏洞于7月18日被披露,其中一个漏洞允许远程执行代码。在此披露之前,一些安全组织发现这些漏洞在野外的利用有限。
- Fox-IT(与荷兰漏洞披露研究所合作)已扫描这些Webshell以识别受感染的系统。DIVD已发送负责任的披露通知。
- 在此利用活动期间,31127个NetScaler容易受到CVE-2023-3519 的攻击。
- 截至8月14日,1828个NetScaler仍然存在后门。
- 在后门NetScaler中,有1248个已修补CVE-2023-3519。
给NetScaler 管理员的建议作为大规模攻击的一部分,近2,000个Citrix NetScaler实例已受到后门攻击,将最近披露的关键安全漏洞武器化。NCC Group在周二发布的公告中表示:“对手似乎以自动化方式利用了CVE-2023-3519,在易受攻击的NetScaler上放置Web shell以获得持久访问权限。”“即使NetScaler已打补丁和/或重新启动,攻击者也可以使用此Webshell执行任意命令。”CVE-2023-3519是指影响NetScaler ADC和网关服务器的严重代码注入漏洞,可能导致未经身份验证的远程代码执行。Citrix上个月对此进行了修补。一周前,Shadowserver基金会表示,它在网上发现了近 7,000 个易受攻击、未打补丁的 NetScaler ADC和网关实例,并且该缺陷被滥用,在易受攻击的服务器上投放 PHP Web shell以进行远程访问。NCC Group的后续分析显示,1,828 台NetScaler服务器仍然存在后门,其中大约 1,248 台服务器已经针对该漏洞进行了修补。该公司表示:“这表明,虽然大多数管理员都意识到了该漏洞,并已将其NetScaler 修补到不易受攻击的版本,但他们尚未(正确)检查是否有成功利用的迹象。”总共在1,952 个不同的NetScaler设备中发现了多达2,491个Web shell。大多数受感染实例位于德国、法国、瑞士、日本、意大利、西班牙、荷兰、爱尔兰、瑞典和奥地利。撇开欧洲的焦点不谈,另一个值得注意的方面是,虽然加拿大、俄罗斯和美国上个月末有数千台易受攻击的NetScaler服务器,但在其中任何一台服务器上都没有发现Web shell。截至2023 年7月21日,大规模利用活动估计已损害了易受CVE-2023-3519 影响的 31,127个NetScaler实例中的6.3%。此次披露的同时,Mandiant发布了一款开源工具,帮助组织扫描其Citrix设备,以查找与CVE-2023-3519相关的利用后活动的证据。
|