Chiara Nardini : 31 Agosto 2023 15:12
Il CVE-2023-3519 è un difetto di iniezione di codice di gravità critica (punteggio CVSS: 9,8) in Citrix NetScaler ADC e NetScaler Gateway, scoperto come zero-day attivamente sfruttato a metà luglio 2023.
Il fornitore ha rilasciato prontamente gli aggiornamenti di sicurezza il 18 luglio, ma c’erano prove che i criminali informatici stavano vendendo gli exploit nei mercati underground da almeno il 6 luglio scorso.
Ora gli sviluppi per le relative integrazioni sono state completate e diverse cybergang iniziano ad utilizzare la catena di attacco per i loschi scopi.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Infatti un attore malevolo connesso alla cybergang FIN8 ha iniziato a sfruttare la code-injection integrandola nei suoi strumenti malevoli.
Avevamo riportato che molti sistemi risultavano non protetti. Questo per il cybercrime è una cosa altamente preziosa in quanto soprattutto quando si parla di RCE su entry point perimetrali come il caso di Citrix NetScaler ADC e NetScaler Gateway.
Sophos monitora questa campagna da metà agosto, segnalando che l’autore della minaccia esegue iniezioni di payload, utilizza BlueVPS per individuare malware, distribuisce script PowerShell offuscati e rilascia webshell PHP sui computer delle vittime.
A metà agosto, oltre 31.000 istanze di Citrix NetScaler rimanevano vulnerabili a CVE-2023-3519, più di un mese dopo la disponibilità dell’aggiornamento di sicurezza, offrendo agli autori delle minacce numerose opportunità di attacco.
Sophos X-Ops segnala che un attore di minacce tracciato come “STAC4663” sta sfruttando CVE-2023-3519, che i ricercatori ritengono sia parte della stessa campagna di cui Fox-IT ha riferito all’inizio di questo mese.
Il payload trasportato nei recenti attacchi, che viene iniettato negli eseguibili “wuauclt.exe” o “wmiprvse.exe”, è ancora in fase di analisi. Tuttavia, Sophos ritiene che faccia parte di una catena di attacchi ransomware. Inoltre sembra che ci siano collegamenti anche con il ransomware ALPHV/BlackCat.
Inutile quindi dire di aggiornare le macchine qualora queste non sono state ancora aggiornate.
Che la caccia abbia inizio!