黑客正在利用 Citrix NetScaler 网关漏洞,收集用户凭证

安全 黑客攻防
IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞(CVSS评分:9.8),开展大规模的凭证收集活动。

Security Affairs 网站披露,IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞(CVSS评分:9.8),开展大规模的凭证收集活动。

2023 年 7 月底,Citrix 警告客户 NetScaler 应用交付控制器(ADC)和网关中存在的 CVE-2023-3519 漏洞正在被恶意利用。据悉,该漏洞是一个代码注入漏洞,可导致未经验证的远程代码执行。

美国网络安全和基础设施安全局(CISA)也曾针对 CVE-2023-3519 发出过警示。CISA 透露威胁攻击者正在利用该漏洞在易受攻击的系统上投放 Web 外壳,其目标可能是部署在关键基础设施组织网络中的 NetScaler ADC 设备。

一个月后,非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。

威胁攻击者正在“积极”利用漏洞

X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动。客户端报告称在 NetScaler 安装时身份验证缓慢,攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。

此后,X-Force 在发布的报告中表示附加到合法 "index.html "文件的脚本会加载一个额外远程 JavaScript 文件,该文件会将一个函数附加到 VPN 身份验证页面中的 "登录 "元素,该函数则会收集用户名和密码信息,并在身份验证期间将其发送到远程服务器。

值得一提的是,攻击链从威胁攻击者向"/gwtest/formssso? event=start&target="发送网络请求时便已经开始了,触发 CVE-2023-3519 漏洞后,在 /netscaler/ns_gui/vpn 写入一个简单的 PHP web shell,一旦受害目标设备部署了 PHP web shell,攻击者就会检索设备上 "ns.conf "文件的内容。

然后,攻击者在 "index.html "中添加自定义 HTML 代码,该代码引用了托管在攻击者控制的基础架构上的远程 JavaScript 文件。

附加到 "index.html "的 JavaScript 代码检索并执行后,会将一个自定义函数附加到身份验证页面上的 "Log_On "按钮,恶意代码随及就能够收集身份验证表单中的数据(包括凭据),并通过 HTTP POST 方法将其发送到远程主机。

X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名,这些域名分别于 8 月 5 日、6 日和 14 日注册,并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后,确定了近 600 个唯一的受害者 IP 地址,这些地址托管着修改过的 NetScaler Gateway 登录页面。

分析显示,大多数受害者分布在美国和欧洲地区,虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来,但已经提取到了入侵指标(IoCs)。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-11-02 12:16:19

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击

2023-10-18 16:36:40

2022-05-16 15:35:00

漏洞黑客

2024-11-15 16:21:56

2021-04-20 09:36:49

黑客网络安全网络攻击

2009-04-06 07:06:39

2009-08-25 15:35:45

citrxinetscalerncore

2016-11-18 17:14:56

Citrix NetS

2022-02-06 12:21:27

恶意攻击黑客谷歌

2011-10-20 15:59:27

CitrixNetScaler云计算

2021-12-07 18:39:19

黑客虚假广告恶意软件

2023-07-07 15:47:03

2013-05-06 10:42:52

2011-07-29 10:46:44

2023-12-26 16:29:15

2009-10-12 15:18:05

2023-10-19 11:41:14

2015-10-14 14:40:10

漏洞软件设计漏洞keychain

2024-10-23 19:47:54

点赞
收藏

51CTO技术栈公众号