Хакеры активно эксплуатируют недавно обнаруженную уязвимость в программном обеспечении Citrix для кражи учетных данных пользователей. Речь идет об уязвимости CVE-2023-3519 , найденной в июле этого года. Она затрагивает такие продукты Citrix, как NetScaler ADC, NetScaler Gateway и позволяет запускать вредоносный код на устройствах без авторизации.
По данным компании IBM X-Force, несмотря на предупреждения от разработчиков и просьбы обновить систему, многие организации до сих пор остаются уязвимыми. Только в августе хакеры использовали этот дефект для взлома более 2000 серверов Citrix.
Специалисты обнаружили , что сначала злоумышленники загружают веб-шелл на PHP в каталог “/netscaler/ns_gui/vpn”, через который получают удаленный доступ и собирают сведения о конфигурации системы. Затем вредоносный JavaScript-код внедряется в страницу аутентификации ” data-html=”true” data-original-title=”VPN” >VPN. Этот код перехватывает учетные данные и отправляет на управляющий сервер через HTTP POST запрос.
Хакеры используют несколько доменов для своих целей, в том числе jscloud[.]ink, jscloud[.]live, jscloud[.]biz, jscdn[.]biz и cloudjs[.]live.
По данным IBM, в атаках задействованы сотни уникальных IP-адресов скомпрометированных устройств Citrix по всему миру. Большинство жертв находятся в США и Европе. Начало кампании относится к 11 августа 2023 года, следовательно, она длится уже около двух месяцев.
Аналитики IBM выяснили, что следы атаки можно обнаружить в журналах сбоев NSPPE (часть логов приложения NetScaler). Они находятся в каталоге “/var/core/NSPPE*” в виде .gz архивов. Чтобы проанализировать эти файлы, их нужно извлечь и преобразовать строковые данные в читаемый текст с помощью специальных инструментов.
Специалисты рекомендуют компаниям в срочном порядке установить обновления безопасности от производителя и усилить мониторинг систем на предмет взлома.