IBM:CVE-2023-3519高危漏洞正在被大规模利用

阅读量113359

发布时间 : 2023-10-10 10:39:56

IBM 的 X-Force 研究人员报告称,威胁行为者正在利用Citrix NetScaler Gateway 中最近的CVE-2023-3519漏洞(CVSS 评分:9.8)开展大规模凭证收集活动。

该漏洞是一种代码注入,可能导致未经身份验证的远程代码执行,成功利用该漏洞需要将设备配置为网关(VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理)或 AAA 虚拟服务器。

美国网络安全和基础设施安全局 (CISA) 警告称 ,存在利用零日 CVE-2023-3519 的针对 Citrix NetScaler 应用交付控制器 (ADC) 和网关设备的网络攻击。 该机构透露,威胁行为者针对的是关键基础设施组织网络中部署的 NetScaler ADC 设备。

美国 CISA 透露,威胁行为者正在利用该漏洞向易受攻击的系统投放 Web shell。

8 月初,非营利组织 Shadowserver Foundation 的安全研究人员报告称,在利用关键远程代码执行 (RCE) 漏洞的持续攻击活动中,数百台 Citrix Netscaler ADC 和网关服务器已受到损害。

X-Force 在为一名报告 NetScaler 安装身份验证速度缓慢的客户进行事件响应活动时发现了该活动。攻击者利用该缺陷将恶意 Javascript 注入设备“index.html”登录页面。

“附加到合法“index.html”文件的脚本会加载一个额外的远程 JavaScript 文件,该文件将一个函数附加到 VPN 身份验证页面中的“登录”元素,该元素收集用户名和密码信息并将其发送到远程服务器。身份验证期间的服务器。”

攻击链始于威胁参与者向“/gwtest/formssso?”发送 Web 请求。event=start&target=” 触发缺陷 CVE-2023-3519,将简单的 PHP Web shell 写入 /netscaler/ns_gui/vpn。一旦部署 PHP Web shell,攻击者就会检索设备上“ns.conf”文件的内容。然后,攻击者将自定义 HTML 代码附加到“index.html”,该代码引用托管在攻击者控制的基础设施上的远程 JavaScript 文件。

Citrix NetScaler 网关 CVE-2023-3519

附加到“index.html”的 JavaScript 代码检索并执行附加 JavaScript 代码,这些代码将自定义函数附加到身份验证页面上的“Log_On”按钮。恶意代码可以收集身份验证表单中的数据(包括凭据),并通过 HTTP POST 方法将其发送到远程主机。

Citrix NetScaler 网关 CVE-2023-3519

X-Force 研究人员发现了该活动中使用的多个域名,这些域名于 8 月 5 日、6 日和 14 日注册,并利用 Cloudflare 来掩盖这些域名的托管位置。

研究人员确定了威胁行为者使用的 C2 基础设施,然后他们能够识别出近 600 个托管修改后的 NetScaler Gateway 登录页面的唯一受害者 IP 地址。大多数受害者在美国和欧洲。

分析显示,NetScaler Gateway 登录页面首次修改于 2023 年 8 月 11 日,这表明该日期可能标志着该活动的开始。

 

研究人员无法将该活动与任何已知的威胁组织联系起来,但是,他们能够从该活动中提取妥协指标(IoC)。

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/290665

安全KER - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66