11.10.2023 | Без СМС и авторизации: как дефект в ПО Citrix помогает хакерам красть учетные данные |
Хакеры активно эксплуатируют недавно обнаруженную уязвимость в программном обеспечении Citrix для кражи учетных данных пользователей. Речь идет об уязвимости CVE-2023-3519 , найденной в июле этого года. Она затрагивает такие продукты Citrix, как NetScaler ADC , NetScaler Gateway и позволяет запускать вредоносный код на устройствах без авторизации. По данным компании IBM X-Force, несмотря на предупреждения от разработчиков и просьбы обновить систему, многие организации до сих пор остаются уязвимыми. Только в августе хакеры использовали этот дефект для взлома более 2000 серверов Citrix. Специалисты обнаружили , что сначала злоумышленники загружают веб-шелл на PHP в каталог "/netscaler/ns_gui/vpn", через который получают удаленный доступ и собирают сведения о конфигурации системы. Затем вредоносный JavaScript-код внедряется в страницу аутентификации VPN . Этот код перехватывает учетные данные и отправляет на управляющий сервер через HTTP POST запрос. Хакеры используют несколько доменов для своих целей, в том числе jscloud[.]ink, jscloud[.]live, jscloud[.]biz, jscdn[.]biz и cloudjs[.]live. По данным IBM, в атаках задействованы сотни уникальных IP-адресов скомпрометированных устройств Citrix по всему миру. Большинство жертв находятся в США и Европе. Начало кампании относится к 11 августа 2023 года, следовательно, она длится уже около двух месяцев. Аналитики IBM выяснили, что следы атаки можно обнаружить в журналах сбоев NSPPE (часть логов приложения NetScaler). Они находятся в каталоге "/var/core/NSPPE*" в виде .gz архивов. Чтобы проанализировать эти файлы, их нужно извлечь и преобразовать строковые данные в читаемый текст с помощью специальных инструментов. Специалисты рекомендуют компаниям в срочном порядке установить обновления безопасности от производителя и усилить мониторинг систем на предмет взлома. |
Проверить безопасность сайта