Hakerzy ransomware atakują poważną lukę w Citrix NetScaler

Badacze ds. cyberbezpieczeństwa z Sophos odkryli nową kampanię hakerską, w której sprawcy wykorzystywali znaną lukę w zabezpieczeniach do przeprowadzania ataków w całej domenie.

Według raportu badaczy, grupa o nazwie „STAC4663” zdołała wykorzystać CVE-2023-3519 do infiltracji podatnych systemów i wdrożenia wszelkiego rodzaju złośliwego oprogramowania. Exploit jest podatnością na zdalne wykonanie kodu odkrytą wcześniej tego lata w systemach Citrix NetScaler.

Citrix opublikował łatkę na tę lukę w połowie lipca tego roku, jednak raport Sophos wykazał, że nie wszystkie organizacje zastosowały tę poprawkę, pozostawiając swoje systemy podatne na złośliwą penetrację przez osoby trzecie.

Teraz Sophos ostrzega, że samo łatanie punktów końcowych nie wystarczy – organizacje będą musiały również dokładnie sprawdzić swoje sieci i punkty końcowe pod kątem oznak potencjalnego zagrożenia. W tym celu firmy powinny przeanalizować dane historyczne i poszukać zidentyfikowanych Indicators of Compromise (IoC).

Naukowcy stwierdzili również, że ich ustalenia „są ściśle zgodne” z raportem opublikowanym przez Fox-IT na początku tego miesiąca. W raporcie tym badacze stwierdzili, że znaleźli około 2000 systemów Citrix NetScaler zagrożonych z powodu CVE-2023-3519.

W dniu opublikowania raportu (30 sierpnia), Fox-IT podał, że 1828 serwerów NetScaler zostało naruszonych, pomimo faktu, że 1248 zostało wcześniej załatanych przed luką. „Załatany NetScaler nadal może zawierać backdoora” – wyjaśnili badacze. „Zaleca się wykonanie sprawdzenia Indicator of Compromise na serwerach NetScaler, niezależnie od tego, kiedy łatka została zastosowana”.