Američka agencija za kibernetičku i infrastrukturnu sigurnost (CISA) izdala je u četvrtak upozorenje da se novootkrivena kritična sigurnosna greška u Citrix NetScaler Application Delivery Controller (ADC) i Gateway uređajima zloupotrebljava za ispuštanje web shell-a na ranjive sisteme.
“U junu 2023. godine, hakeri su iskoristili ovu ranjivost kao Zero-Day da ispuste web shell na uređaj NetScaler ADC neproizvodnog okruženja kritične infrastrukture” navodi agencija.
“Web shell je omogućila hakerima da izvrše otkrivanje aktivnog direktorija žrtve (AD) i prikupljaju i eksfiltruju AD podatke. Hakeri su pokušali da se pomaknu lateralno do kontrolera domene, ali kontrole segmentacije mreže za uređaj blokiraju kretanje.”
Nedostatak o kojem je riječ je CVE-2023-3519 (CVSS rezultat: 9,8), greška za ubrizgavanje koda koja može rezultovati neautorizovanim daljinskim izvršavanjem koda. Citrix je ranije ove sedmice objavio zakrpe za ovaj problem i upozorio na aktivnu eksploataciju u praksi.
Za uspješnu eksploataciju potrebno je da uređaj bude konfigurisan kao mrežni prolaz (VPN virtuelni server, ICA proxy, CVPN, RDP proxy) ili virtuelni server za autentifikaciju, autorizaciju i reviziju (AAA).
CISA nije otkrila ime organizacije koja je pogođena incidentom. Haker ili država koja navodno stoji iza toga trenutno je nepoznata.
U incidentu koji je analizirala CISA, kaže se da je web shell omogućio prikupljanje NetScaler konfiguracijskih datoteka, NetScaler ključeva za dešifrovanje i AD informacija, nakon čega su podaci preneseni kao PNG datoteka slike (“medialogininit.png”).
Naknadni pokušaji hakera da se lateralno kreće preko mreže, kao i da pokrene komande za identifikaciju dostupnih ciljeva i verifikaciju izlazne mrežne povezanosti, osujećeni su zbog robusne prakse segmentacije mreže, napominje agencija, dodajući da su hakeri takođe pokušali da izbrišu svoje artefakte kako bi prikrili tragove.
Ranjivosti u gateway proizvodima kao što su NetScaler ADC i NetScaler Gateway su postale popularne mete za hakere koji žele dobiti privilegovani pristup ciljanim mrežama. Zbog toga je imperativ da korisnici brzo primjenjuju najnovije popravke kako bi se zaštitili od potencijalnih pretnji.
Izvor: The Hacker News