Citrix nel mirino del cybercrime. 640 server Citrix Netscaler ADC e Gateway espongono una webshell

Gli esperti della Shadowserver Foundation hanno avvertito che circa 640 server Citrix Netscaler ADC e Gateway sono già stati violati e infettati da backdoor a seguito di attacchi che hanno usato la vulnerabilità RCE critica CVE-2023-3519 (9,8 punti sulla scala CVSS), scoperta e corretta il mese scorso.

Dopo la scoperta di questo bug, la US Cybersecurity and Infrastructure Protection Agency (CISA) ha riferito che  il bug è stato sfruttato per distribuire web shell. Le autorità hanno anche avvertito che nel giugno 2023 la vulnerabilità è stata utilizzata contro un’organizzazione anonima correlata all’infrastruttura critica degli Stati Uniti.

Come riportato ora dalla Shadowserver Foundation, durante i massicci attacchi a CVE-2023-3519 iniziati il ​​20 luglio, gli aggressori hanno distribuito web shell su almeno 640 server Citrix vulnerabili.

“Possiamo dire che abbiamo a che fare con un China Chopper molto standard, ma date le circostanze non vogliamo divulgare ulteriori informazioni. Posso notare che il numero di infezioni che stiamo rilevando, purtroppo, è chiaramente molto inferiore al numero effettivo di infezioni”, commenta Piotr Kievsky, CEO della Shadowserver Foundation.

Circa due settimane fa, il numero di dispositivi Citrix vulnerabili a CVE-2023-3519 era di circa 15.000. Da allora, il loro numero  è sceso sotto i 10.000, il che significa che ci sono stati dei progressi nella correzione della vulnerabilità.

Si ricorda ancora una volta agli amministratori che la patch deve essere installata il prima possibile (se non è già stata installata). In effetti, in passato, i gruppi estorsori REvil e DoppelPaymer hanno utilizzato con successo vulnerabilità simili in Citrix Netscaler ADC e Gateway per hackerare le reti aziendali.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore