Χάκερς πραγματοποιούν μια εκτεταμένη εκστρατεία, για την εκμετάλλευση της πρόσφατης ευπάθειας CVE-2023-3519 στους πύλες Citrix NetScaler, και κλέβουν διαπιστευτήρια χρηστών.
Δείτε επίσης: Η ομάδα hacking FIN8 επιτίθεται σε συστήματα Citrix NetScaler;
Η αδυναμία είναι ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα (RCE) χωρίς πιστοποίηση, που ανακαλύφθηκε ως zero-day τον Ιούλιο και επηρεάζει το Citrix NetScaler ADC και το NetScaler Gateway. Μέχρι τις αρχές Αυγούστου, η ευπάθεια είχε εκμεταλλευτεί για να προσθέσει backdoor σε τουλάχιστον 640 διακομιστές Citrix, με τον αριθμό να φτάνει τους 2.000 μέχρι τα μέσα του Αυγούστου.
Σύμφωνα με τις αναφορές του X-Force της IBM, παρά τις πολλαπλές προειδοποιήσεις για την ενημέρωση των συσκευών Citrix, οι χάκερς άρχισαν από τον Σεπτέμβριο, να εκμεταλλεύονται το CVE-2023-3519 για να εισάγουν JavaScript που συλλέγει διαπιστευτήρια σύνδεσης.
Το Citrix NetScaler είναι ένα από τα πιο αξιόπιστα και ισχυρά application delivery controllers (ADC) που χρησιμοποιούνται ευρέως στους τομείς της τεχνολογίας πληροφοριών. Η Citrix Systems, η εταιρεία πίσω από το NetScaler, δεσμεύεται να προσφέρει τεχνολογίες που συνδέουν και ασφαλίζουν εφαρμογές και δεδομένα σε οποιοδήποτε δίκτυο ή cloud.
Η X-Force ανακάλυψε για πρώτη φορά την εκστρατεία κλοπής διαπιστευτηρίων του Netscaler κατά τη διάρκεια της έρευνας μιας υπόθεσης, όπου ένας πελάτης αντιμετώπισε αργές πιστοποιήσεις στη συσκευή του.
Βασισμένοι στις έρευνές τους, οι ανταποκριτές διαπίστωσαν ότι χάκερ διέπραξαν παραβίαση χρησιμοποιώντας το CVE-2023-3519 για να εισάγουν ένα κακόβουλο JavaScript script που κλέβει διαπιστευτήρια στη σελίδα σύνδεσης index.html μιας συσκευής Citrix NetScaler.
Η επίθεση ξεκινά με ένα αίτημα ιστού που εκμεταλλεύεται ευπαθείς συσκευές NetScaler για να γράψει ένα απλό web shell PHP στο “/netscaler/ns_gui/vpn. Αυτό το web shell παρέχει στους επιτιθέμενους άμεση πρόσβαση σε πραγματικό χρόνο στο παραβιασμένο τερματικό, το οποίο εκμεταλλεύονται για να συλλέξουν δεδομένα διαμόρφωσης από το αρχείο “ns.conf“. Στη συνέχεια, οι επιτιθέμενοι προσθέτουν προσαρμοσμένο κώδικα HTML στο αρχείο “index.html” που αναφέρεται σε ένα απομακρυσμένο αρχείο JavaScript, το οποίο ανακτά και εκτελεί επιπλέον κώδικα JS. Το τελευταίο απόσπασμα κώδικα JS σχεδιάστηκε για τη συλλογή διαπιστευτηρίων, προσαρτώντας μια προσαρμοσμένη συνάρτηση στο κουμπί “Σύνδεση” στη σελίδα πιστοποίησης VPN. Τελικά, οι πληροφορίες που συλλέγονται, αποστέλλονται στους επιτιθέμενους μέσω μιας αίτησης HTTP POST.
Δείτε ακόμα: CISA: Προειδοποιεί για το κρίσιμο ελάττωμα του Citrix ShareFile
Οι επιτιθέμενοι εγγράφηκαν σε αρκετά domain για αυτήν την εκστρατεία, συμπεριλαμβανομένων των jscloud[.]ink, jscloud[.]live, jscloud[.]biz, jscdn[.]biz και cloudjs[.]live. Η X-Force εντόπισε σχεδόν 600 μοναδικές διευθύνσεις IP για συσκευές NetScaler, οι οποίες είχαν τροποποιηθεί στις σελίδες σύνδεσης για να διευκολύνουν τη κλοπή διαπιστευτηρίων.
Τα περισσότερα θύματα βρίσκονται στις Ηνωμένες Πολιτείες και την Ευρώπη, αλλά τα παραβιασμένα συστήματα βρίσκονται σε όλο τον κόσμο.
Όσον αφορά τη διάρκεια της εκστρατείας, σύμφωνα με την έκθεση της X-Force, η πρώτη τροποποίηση της σελίδας σύνδεσης, έχει γίνει στις 11 Αυγούστου 2023, οπότε η καμπάνια είναι σε εξέλιξη εδώ και δύο μήνες.
Οι αναλυτές της IBM δεν μπόρεσαν να αποδώσουν αυτήν τη δραστηριότητα σε οποιαδήποτε ομάδα απειλής, αλλά ανέκτησαν ένα νέο αντικείμενο από την επίθεση που μπορεί να βοηθήσει τους ειδικούς να το ανιχνεύσουν νωρίς.
Το εύρημα μπορεί να βρεθεί στα αρχεία application crash της εφαρμογής NetScaler που σχετίζονται με τη μηχανή επεξεργασίας πακέτων NetScaler (NSPPE), τα οποία βρίσκονται στο “/var/core/<number>/NSPPE*“.
Τα αρχεία application crash αποθηκεύονται σε αρχεία “.gz” που απαιτούν αποσυμπίεση πριν από την ανάλυση, ενώ το περιεχόμενο των δεδομένων συμβολοσειράς πρέπει επίσης να μετατραπεί σε αναγνώσιμη μορφή χρησιμοποιώντας το PowerShell ή άλλα εργαλεία. Συνιστάται στους διαχειριστές συστήματος να ακολουθήσουν τις οδηγίες αντιμετώπισης και ανίχνευσης που παρέχει η CISA εδώ.
Δείτε επίσης: Πάνω από 640 servers της Citrix έχουν παραβιαστεί με web shells σε συνεχείς επιθέσεις
Οι χρήστες μπορούν να αμυνθούν κατά της κλοπής διαπιστευτηρίων στο Citrix NetScaler με διάφορους τρόπους, πρωτίστως ασκώντας ακριβή έλεγχο των σελίδων σύνδεσης που χρησιμοποιούν.
Προστασία του λογαριασμού σας:
- Έλεγχος της διεύθυνσης URL: Πραγματοποιείτε πάντοτε διπλό έλεγχο της διεύθυνσης URL πριν πληκτρολογήσετε τα στοιχεία του λογαριασμού σας. Οι χάκερ χρησιμοποιούν συχνά ελαφρώς τροποποιημένες διευθύνσεις URL για να παραπλανήσουν τους χρήστες.
- Ενημέρωση λογισμικού: Οι τελευταίες εκδόσεις του λογισμικού συχνά περιλαμβάνουν διορθώσεις ασφαλείας που αντιμετωπίζουν γνωστές ευπάθειες. Είναι ζωτικής σημασίας να κάνετε τακτικές ενημερώσεις.
Πώς παρακολουθούμε την απειλή αυτή;
Οι ειδικοί στην ασφάλεια των πληροφοριών παρακολουθούν συνεχώς τέτοιες απειλές. Παρόλο που η επίθεση αυτή είναι ιδιαίτερα πονηρή – χρησιμοποιεί τις ίδιες σελίδες σύνδεσης που οι χρήστες θεωρούν αξιόπιστες – οι επαγγελματίες της ασφάλειας μπορούν να εντοπίσουν συχνά τα σημάδια μιας ύπουλης επίθεσης. Αν και η επίθεση αυτή είναι νέα, η γνώση των μεθόδων των επιτιθέμενων, σε συνδυασμό με την συνεχή ενημέρωση των προστατευτικών μέτρων, μπορεί να εξασφαλίσει την ασφάλεια των χρηστών.
Πηγή: bleepingcomputer
