近2,000个Citrix NetScaler实例因严重漏洞遭到黑客攻击
作为大规模攻击的一部分,近 2,000 个 Citrix NetScaler 实例已受到后门攻击,将最近披露的关键安全漏洞武器化。
NCC Group在周二发布的一份公告中表示:“对手似乎以自动化方式利用了 CVE-2023-3519,在易受攻击的 NetScaler 上放置 Web shell 以获得持久访问权限。”
“即使 NetScaler 已打补丁和/或重新启动,攻击者也可以使用此 Webshell 执行任意命令。”
CVE-2023-3519 是指影响 NetScaler ADC 和网关服务器的严重代码注入漏洞,可能导致未经身份验证的远程代码执行。Citrix 上个月对此进行了修补。
一周前,Shadowserver 基金会表示,它在网上发现了近 7,000 个易受攻击、未打补丁的 NetScaler ADC 和网关实例,并且该缺陷被滥用,在易受攻击的服务器上投放 PHP Web shell 以进行远程访问。
NCC Group 的后续分析显示,1,828 台 NetScaler 服务器仍然存在后门,其中大约 1,248 台服务器已经针对该漏洞进行了修补。
该公司表示:“这表明,虽然大多数管理员都意识到了该漏洞,并已将其 NetScaler 修补到不易受攻击的版本,但他们尚未(正确)检查是否有成功利用的迹象。”
总共在 1,952 个不同的 NetScaler 设备中发现了多达 2,491 个 Web shell。大多数受感染实例位于德国、法国、瑞士、日本、意大利、西班牙、荷兰、爱尔兰、瑞典和奥地利。
撇开欧洲的焦点不谈,另一个值得注意的方面是,虽然加拿大、俄罗斯和美国上个月末有数千台易受攻击的 NetScaler 服务器,但在其中任何一台服务器上都没有发现 Web shell。
截至 2023 年 7 月 21 日,大规模利用活动估计已损害了易受 CVE-2023-3519 影响的 31,127 个 NetScaler 实例中的 6.3%。
此次披露的同时,Mandiant发布了一款开源工具,帮助组织扫描其 Citrix 设备,以查找与 CVE-2023-3519 相关的利用后活动的证据。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/7754.html
