Um ator de ameaça automatizou a exploração de uma vulnerabilidade recente da Citrix e infectou cerca de 2.000 instâncias do NetScaler com um backdoor, informou a empresa britânica de garantia de informações NCC Group.
Rastreada como CVE-2023-3519, a vulnerabilidade crítica foi divulgada no mês passado como dia zero, sendo explorada desde junho de 2023, inclusive em ataques contra organizações de infraestrutura crítica.
O problema permite que invasores remotos não autenticados executem código arbitrário em dispositivos vulneráveis Citrix Application Delivery Controller (ADC) e Gateway configurados como um gateway ou servidor virtual AAA.
Aproximadamente uma semana depois que a Citrix lançou patches para o bug, a empresa de segurança cibernética Bishop Fox alertou que havia identificado mais de 20.000 dispositivos Citrix vulneráveis a uma nova exploração.
Agora, o Grupo NCC diz ter observado uma campanha de exploração automatizada em que mais de 1.950 instâncias do NetScaler foram comprometidas, representando aproximadamente 6,3% dos 31.000 appliances vulneráveis identificados no início da campanha de exploração.
A empresa identificou cerca de 2.500 webshells nas instâncias comprometidas e diz que mais de 1.800 deles permanecem infectados. A partir de 10 de agosto, o Instituto Holandês de Divulgação de Vulnerabilidade notificou as organizações afetadas sobre as descobertas do NCC Group.
Mais preocupante, diz a empresa de segurança cibernética, é que cerca de 69% das infecções ocorreram antes que as organizações afetadas aplicassem o patch fornecido. No entanto, o backdoor não foi removido.
“Isso indica que, embora a maioria dos administradores estivesse ciente da vulnerabilidade e, desde então, tenha corrigido seus NetScalers para uma versão não vulnerável, eles não foram (devidamente) verificados em busca de sinais de exploração bem-sucedida”, diz o NCC Group.
O grande número de instâncias do NetScaler infectadas antes de serem corrigidas também mostra que a campanha de exploração em massa ocorreu na mesma época em que a Citrix lançou as correções.
“A alta porcentagem de NetScalers corrigidos que receberam backdoor provavelmente é resultado da época em que ocorreu a exploração em massa. A partir dos casos de resposta a incidentes, podemos confirmar a estimativa anterior do Shadowserver de que essa campanha de exploração específica ocorreu entre o final de 20 de julho e o início de 21 de julhost”, observa o Grupo NCC.
A maioria das infecções identificadas está na Europa, com a Alemanha, França e Suíça sendo as mais afetadas. Japão e Itália completam os cinco primeiros. Canadá, Rússia e Estados Unidos praticamente não têm instâncias NetScaler infectadas.
