Uma campanha de coleta de credenciais tem como alvo os gateways Citrix NetScaler que não foram corrigidos contra uma vulnerabilidade recente, relata a IBM.
Rastreada como CVE-2023-3519 (pontuação CVSS de 9,8), a vulnerabilidade foi divulgada em julho, mas foi explorada desde junho de 2023, com alguns dos ataques direcionados a organizações de infraestrutura crítica.
Em meados de agosto, os agentes de ameaças exploraram essa vulnerabilidade como parte de uma campanha automatizada, fazendo backdoor em cerca de 2.000 instâncias do NetScaler. De acordo com a Shadowserver Foundation, pelo menos 1.350 instâncias do NetScaler foram comprometidas em ataques anteriores estavam aparecendo em varreduras semana passada.
Em setembro, a IBM observou uma nova campanha maliciosa visando dispositivos NetScaler sem patch para injetar um script na página de autenticação e roubar credenciais do usuário.
Como parte dos ataques observados, um agente de ameaça está explorando o CVE-2023-3519 para injetar um shell da web PHP, que permite anexar código HTML personalizado ao arquivo ‘index.html’ legítimo, para carregar um arquivo JavaScript hospedado em a infraestrutura do invasor na página de autenticação VPN.
O JavaScript busca e executa código adicional para anexar uma função personalizada no elemento ‘Log_On’, destinada a coletar o nome de usuário e a senha fornecidos pelo usuário e enviá-los para um servidor remoto.
Como parte da campanha, o agente da ameaça criou vários domínios e os registrou em agosto, abusando da Cloudflare para ocultar seu local de hospedagem.
A IBM afirma ter identificado “pelo menos 600 endereços IP de vítimas únicas que hospedam páginas de login modificadas do NetScaler Gateway”, a maioria delas localizadas nos EUA e na Europa. De acordo com Varreduras do Shadowserverhá pelo menos 285 instâncias do NetScaler comprometidas nesta campanha.
As primeiras infecções provavelmente ocorreram em 11 de agosto, embora a campanha “poderia ter começado mais perto do momento em que os domínios foram registrados”, em 4 de agosto, afirma a IBM.
Os arquivos JavaScript observados nesses ataques são quase idênticos, sendo o comando e controle (C&C) a única diferença entre eles. As credenciais coletadas foram enviadas para o mesmo URL.
A IBM recuperou alguns dos web shells e versões modificadas do arquivo ‘index.html’ e está fornecendo informações sobre os indicadores de comprometimento (IoCs) que as organizações devem procurar ao procurar um alvo potencial de suas instâncias do NetScaler.
De acordo com a IBM, as organizações devem considerar não apenas corrigir seus gateways NetScaler, mas também alterar todos os seus certificados e senhas como parte de seus esforços de remediação.