Cerca de 2.000 instancias de Citrix NetScaler han sido comprometidas con un backdoor mediante el aprovechamiento de una vulnerabilidad de seguridad crítica recientemente revelada como parte de un ataque a gran escala, según informan Investigadores de seguridad de la empresa de ciberseguridad Fox-IT (parte del Grupo NCC) y del Instituto Holandés de Divulgación de Vulnerabilidades (DIVD).
Rastreada como CVE-2023-3519, la vulnerabilidad crítica fue revelada el mes pasado como un Zero-day, siendo explotada desde junio de 2023, incluso en ataques contra organizaciones de infraestructuras críticas. Aunque la vulnerabilidad recibió un parche el 18 de julio, los hackers empezaron a explotarla para ejecutar código sin autenticación.
«Un atacante parece haber explotado CVE-2023-3519 de forma automatizada, colocando web shells en NetScalers vulnerables para obtener acceso persistente», dijo NCC Group en un aviso. El adversario puede ejecutar comandos arbitrarios con este webshell, incluso cuando un NetScaler está parcheado y/o reiniciado.
CVE-2023-3519 se refiere a una vulnerabilidad crítica de inyección de código que afecta a los servidores NetScaler ADC y Gateway y que permite a atacantes remotos no autenticados ejecutar código arbitrario en dispositivos Citrix Application Delivery Controller (ADC) y Gateway vulnerables que estén configurados como puertas de enlace o servidores virtuales. El desarrollo se produce una semana después de que The Shadowserver Foundation descubrió que los hackers habían infectado más de 640 servidores Citrix NetScaler y colocado web shells para el acceso remoto y la persistencia.
Un análisis de seguimiento realizado por NCC Group ha revelado que 1.952 servidores NetScaler siguen siendo vulnerables, de los cuales aproximadamente 1.248 ya están parcheados contra el fallo.
En un contexto más amplio, los 1.952 servidores con backdoors representan más del 6% de las 31.127 instancias Citrix NetScaler vulnerables a CVE-2023-3519 a nivel global cuando la campaña estaba activa.
De los servidores comprometidos descubiertos, Fox-IT dice que 1.828 permanecían con backdoors el 14 de agosto de 2023 y que los 1.248 habían sido parcheados después de que los hackers plantaran las web shells.
A partir de esto, Fox-IT y DIVD empezaron a ponerse en contacto con organizaciones, directamente o a través de CERTs nacionales, sobre instancias NetScaler comprometidas en su red. La investigación demostró que el mayor número de servidores Citrix NetScaler comprometidos, tanto parcheados como sin parchear, se encontraba en Alemania, seguida de Francia y Suiza.
Mandiant lanza escáner para identificar dispositivos afectados
La firma estadounidense de ciberseguridad Mandiant ha lanzado un escáner que permite a las organizaciones examinar sus dispositivos Citrix ADC y Citrix Gateway en busca de signos de compromiso y actividad post-explotación.
«La herramienta está diseñada para hacer el mejor esfuerzo posible en la identificación de compromisos existentes», dice el post de Mandiant.
Mandiant’t Ctrix IOC Scanner debe ejecutarse directamente en un dispositivo o en una imagen forense montada, ya que analizará el sistema de archivos local y los archivos de configuración en busca de la presencia de varios IOC.
Si el escáner revela signos de compromiso, se recomienda realizar un examen forense completo de los dispositivos y partes de la red afectados para evaluar el alcance y la magnitud de la afectaciçon, lo que requiere un conjunto diferente de herramientas. Es importante señalar que un resultado negativo no debe tomarse como garantía de que un sistema no se ha visto comprometido, ya que los atacantes todavía tienen muchas formas de ocultar sus rastros.
Se recomienda ejecutar el escáner en todos los aparatos expuestos a Internet mientras ejecuten una versión de firmware vulnerable en cualquier momento.
IoC
Rutas del sistema de archivos que pueden contener archivos sospechosos:
/var/netscaler/logon/LogonPoint/uiareas
/var/netscaler/logon/LogonPoint/uiareas// /netscaler/ns_gui/epa/scripts//
/netscaler/ns_gui/vpns/theme/default
/var/vpn/temas/
Comandos conocidos de atacantes o sospechosos en el historial del shell:
whoami$
cat /flash/nsconfig/keys
ldapsearch
chmod +x /tmp
openssl des3
cp /bin/sh
chmod +s /var
Archivos en directorios NetScaler con contenidos que coinciden con IoC conocidos:
/var/vpn/theme/.theme.php
/var/tmp/the
/var/tmp/npc
/var/tmp/conf/npc.conf
/var/tmp/conf/multi_account.conf
Referencia:
https://securityaffairs.com/149551/hacking/2000-citrix-netscaler-servers-hacked.html