NCC Group предупреждает — даже патчи могут не спасти.
Кибербезопасная компания NCC Group сообщила в своем отчете, что почти 2000 экземпляров Citrix NetScaler были скомпрометированы. Злоумышленники использовали недавно обнаруженную критическую уязвимость CVE-2023-3519. Предположительно, она была полезна для установки веб-шеллов и получения постоянного доступа к уязвимым серверам. Эксперты отмечают высокий риск подобных атак, так как дефекты в корпоративных сетевых устройствах могут вести к ценным данным и инфраструктуре.
Согласно отчету, даже если уязвимость была устранена обновлением или перезагрузкой, злоумышленники по-прежнему могут выполнять произвольные команды через оставшиеся бэкдоры. Аналитики рекомендуют проверять системы на наличие вредоносных скриптов и следов взлома после обновлений.
В ходе независимого исследования NCC Group было обнаружено, что около 1828 серверов NetScaler остаются скомпрометированными, несмотря на применение патчей.
Всего на 1952 устройствах был найден 2491 веб-шелл. Большая часть взломанных серверов расположена в Европе, в частности в Германии, Франции, Швейцарии и других странах региона.
Фонд Shadowserver уже предупреждал об уязвимости CVE-2023-3519 в системах Citrix. Эксперты насчитали около 7000 неисправленных устройств NetScaler в интернете.
По оценкам, текущая кампания затронула 6,3% из более чем 30 000 серверов Citrix, которые оставались уязвимыми на 21 июля.
Компания Mandiant также выпустила специальный инструмент для поиска следов компрометации, связанных с CVE-2023-3519. Использование подобных средств мониторинга поможет организациям выявлять и предотвращать кибератаки в будущем.
Большой взрыв знаний каждый день в вашем телефоне