De in september ontdekte CVE-2023-3519-kwetsbaarheid in Citrix NetScaler gateways wordt momenteel massaal gebruikt door hackers.
Dat stellen onderzoekers van IBM X-Force. Op dit moment zouden tegen de 600 unieke IP-adressen zijn gedetecteerd die aangeven dat hackers van de kwetsbaarheid gebruikmaken, met name in de VS en in Europa.
De in juli als zero-day ontdekte kwetsbaarheid is vooral van invloed is op Citrix NetScaler ADC- en NetScaler Gateway-devices. Blijkbaar zijn er nog steeds voldoende niet-gepatchte devices op het internet zichtbaar, zodat de infectie zich nog steeds kan voortzetten.
De kwetsbaarheid wordt door hackers gebruikt voor het uitvoeren van RCE-aanvallen om inloggegevens te stelen. Dit door onder meer een kwaadaardig JavaScript voor het stelen van inloggegevens in de index.html login page van een getroffen Citrix NetScaler-device te injecteren.
Lees ook: Backdoors in Citrix-servers zijn overal, bedrijven wanen zich onterecht veilig
Nieuwe inbreukindicatie gevonden
Het is de onderzoekers van IBM X-Force nog niet gelukt uit te vinden wie verantwoordelijk is voor de continuerende aanval. Wel zijn zij erin geslaagd een nieuw ‘artifact’ te vinden waarmee kan worden gedetecteerd dat een CVE-2023-3519-aanval plaatsvindt.
Dit artifact bevindt zich in de Citrix NetScaler applicatie crash-logs die bij de NetScaler Packet Processing Engine (NSPPE) horen. Hierin hebben de securityexperts bepaalde timestamps aangetroffen die overeenkomsten vertoonden met de filesystem timestamps van de in de exploits gebruikte PHP web shells.
Dit betekende dat de IBM X-Force-securityxperts in staat waren de commando’s in te zien die naar de web shells worden gestuurd als onderdeel van kwaadaardige activiteiten na een exploit.
IBM X-Force roept met klem op zo snel mogelijk nog niet gepatchte Citrix NetScaler gateways van patches te voorzien.
Lees meer: Opnieuw duizenden Citrix-servers kwetsbaar
2 dagen geleden
