Fast 2.000 Citrix NetScaler-Instanzen wurden durch eine Hintertür kompromittiert, indem eine kürzlich entdeckte kritische Sicherheitslücke im Rahmen eines groß angelegten Angriffs als Waffe genutzt wurde.
„Ein Angreifer scheint CVE-2023-3519 automatisiert ausgenutzt zu haben, indem er Web-Shells auf anfälligen NetScalern platziert hat, um dauerhaften Zugriff zu erhalten“, so die NCC Group sagte in einer am Dienstag veröffentlichten Empfehlung.
„Der Angreifer kann mit dieser Webshell beliebige Befehle ausführen, selbst wenn ein NetScaler gepatcht und/oder neu gestartet wird.“
CVE-2023-3519 bezieht sich auf eine kritische Code-Injection-Schwachstelle, die sich auf NetScaler ADC- und Gateway-Server auswirkt und zu einer nicht authentifizierten Remote-Codeausführung führen könnte. Es wurde letzten Monat von Citrix gepatcht.
Die Entwicklung erfolgt eine Woche, nachdem die Shadowserver Foundation bekannt gegeben hat, dass sie fast 7.000 anfällige, ungepatchte NetScaler ADC- und Gateway-Instanzen online identifiziert hat und die Schwachstelle missbraucht wird, um PHP-Web-Shells auf anfälligen Servern für den Fernzugriff abzulegen.
Eine Folgeanalyse der NCC Group hat nun ergeben, dass 1.828 NetScaler-Server immer noch mit Backdoors versehen sind, von denen etwa 1.248 bereits mit Patches gegen die Schwachstelle versehen sind.
„Dies deutet darauf hin, dass sich die meisten Administratoren zwar der Schwachstelle bewusst waren und ihre NetScaler inzwischen auf eine nicht angreifbare Version gepatcht haben, sie jedoch nicht (ordnungsgemäß) auf Anzeichen einer erfolgreichen Ausnutzung überprüft wurden“, sagte das Unternehmen.
Insgesamt wurden bis zu 2.491 Web-Shells in 1.952 verschiedenen NetScaler-Appliances gefunden. Ein Großteil der kompromittierten Instanzen befindet sich in Deutschland, Frankreich, der Schweiz, Japan, Italien, Spanien, den Niederlanden, Irland, Schweden und Österreich.
Abgesehen vom Fokus auf Europa ist ein weiterer bemerkenswerter Aspekt, dass Kanada, Russland und die USA Ende letzten Monats zwar Tausende anfälliger NetScaler-Server hatten, auf keinem von ihnen jedoch Web-Shells gefunden wurden.
Es wird geschätzt, dass die Massenausnutzungskampagne zum 21. Juli 2023 6,3 % der 31.127 NetScaler-Instanzen kompromittiert hat, die für CVE-2023-3519 anfällig waren.
Die Enthüllung erfolgt ebenfalls wie bei Mandiant freigegeben ein Open-Source-Tool, das Organisationen dabei hilft, ihre Citrix-Appliances auf Hinweise auf Post-Exploitation-Aktivitäten im Zusammenhang mit CVE-2023-3519 zu scannen.