Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Дефект в ПО Citrix помогает хакерам красть учетные данные

11/10/23

hack129-2

Хакеры активно эксплуатируют недавно обнаруженную уязвимость в программном обеспечении Citrix для кражи учетных данных пользователей. Речь идет об уязвимости CVE-2023-3519 , найденной в июле этого года. Она затрагивает такие продукты Citrix, как NetScaler ADC, NetScaler Gateway и позволяет запускать вредоносный код на устройствах без авторизации.

По данным компании IBM X-Force, несмотря на предупреждения от разработчиков и просьбы обновить систему, многие организации до сих пор остаются уязвимыми. Только в августе хакеры использовали этот дефект для взлома более 2000 серверов Citrix, согласно Securitylab.

Специалисты обнаружили, что сначала злоумышленники загружают веб-шелл на PHP в каталог "/netscaler/ns_gui/vpn", через который получают удаленный доступ и собирают сведения о конфигурации системы. Затем вредоносный JavaScript-код внедряется в страницу аутентификации VPN. Этот код перехватывает учетные данные и отправляет на управляющий сервер через HTTP POST запрос.

Хакеры используют несколько доменов для своих целей, в том числе jscloud[.]ink, jscloud[.]live, jscloud[.]biz, jscdn[.]biz и cloudjs[.]live.

По данным IBM, в атаках задействованы сотни уникальных IP-адресов скомпрометированных устройств Citrix по всему миру. Большинство жертв находятся в США и Европе. Начало кампании относится к 11 августа 2023 года, следовательно, она длится уже около двух месяцев.

Аналитики IBM выяснили, что следы атаки можно обнаружить в журналах сбоев NSPPE (часть логов приложения NetScaler). Они находятся в каталоге "/var/core/NSPPE*" в виде .gz архивов. Чтобы проанализировать эти файлы, их нужно извлечь и преобразовать строковые данные в читаемый текст с помощью специальных инструментов.

Специалисты рекомендуют компаниям в срочном порядке установить обновления безопасности от производителя и усилить мониторинг систем на предмет взлома.

Темы:CitrixУгрозыIBM X-Force
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...