Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Дефект в ПО Citrix помогает хакерам красть учетные данные

11/10/23

hack129-2

Хакеры активно эксплуатируют недавно обнаруженную уязвимость в программном обеспечении Citrix для кражи учетных данных пользователей. Речь идет об уязвимости CVE-2023-3519 , найденной в июле этого года. Она затрагивает такие продукты Citrix, как NetScaler ADC, NetScaler Gateway и позволяет запускать вредоносный код на устройствах без авторизации.

По данным компании IBM X-Force, несмотря на предупреждения от разработчиков и просьбы обновить систему, многие организации до сих пор остаются уязвимыми. Только в августе хакеры использовали этот дефект для взлома более 2000 серверов Citrix, согласно Securitylab.

Специалисты обнаружили, что сначала злоумышленники загружают веб-шелл на PHP в каталог "/netscaler/ns_gui/vpn", через который получают удаленный доступ и собирают сведения о конфигурации системы. Затем вредоносный JavaScript-код внедряется в страницу аутентификации VPN. Этот код перехватывает учетные данные и отправляет на управляющий сервер через HTTP POST запрос.

Хакеры используют несколько доменов для своих целей, в том числе jscloud[.]ink, jscloud[.]live, jscloud[.]biz, jscdn[.]biz и cloudjs[.]live.

По данным IBM, в атаках задействованы сотни уникальных IP-адресов скомпрометированных устройств Citrix по всему миру. Большинство жертв находятся в США и Европе. Начало кампании относится к 11 августа 2023 года, следовательно, она длится уже около двух месяцев.

Аналитики IBM выяснили, что следы атаки можно обнаружить в журналах сбоев NSPPE (часть логов приложения NetScaler). Они находятся в каталоге "/var/core/NSPPE*" в виде .gz архивов. Чтобы проанализировать эти файлы, их нужно извлечь и преобразовать строковые данные в читаемый текст с помощью специальных инструментов.

Специалисты рекомендуют компаниям в срочном порядке установить обновления безопасности от производителя и усилить мониторинг систем на предмет взлома.

Темы:CitrixУгрозыIBM X-Force
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...