Security Affairs 網(wǎng)站披露，IBM X-Force 研究人員發(fā)現(xiàn)威脅攻擊者正在利用 Citrix NetScaler 網(wǎng)關(guān)存在的CVE-2023-3519 漏洞（CVSS評(píng)分：9.8），開展大規(guī)模的憑證收集活動(dòng)。

2023 年 7 月底，Citrix 警告客戶 NetScaler 應(yīng)用交付控制器（ADC）和網(wǎng)關(guān)中存在的 CVE-2023-3519 漏洞正在被惡意利用。據(jù)悉，該漏洞是一個(gè)代碼注入漏洞，可導(dǎo)致未經(jīng)驗(yàn)證的遠(yuǎn)程代碼執(zhí)行。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）也曾針對(duì) CVE-2023-3519 發(fā)出過警示。CISA 透露威脅攻擊者正在利用該漏洞在易受攻擊的系統(tǒng)上投放 Web 外殼，其目標(biāo)可能是部署在關(guān)鍵基礎(chǔ)設(shè)施組織網(wǎng)絡(luò)中的 NetScaler ADC 設(shè)備。

一個(gè)月后，非營利組織 Shadowserver Foundation 安全研究人員指出數(shù)百臺(tái) Citrix Netscaler ADC 和網(wǎng)關(guān)服務(wù)器已被網(wǎng)絡(luò)攻擊者破壞。

威脅攻擊者正在“積極”利用漏洞

X-Force 在為一個(gè)客戶端進(jìn)行事件響應(yīng)活動(dòng)時(shí)發(fā)現(xiàn)上述網(wǎng)絡(luò)攻擊活動(dòng)?？蛻舳藞?bào)告稱在 NetScaler 安裝時(shí)身份驗(yàn)證緩慢，攻擊者利用該漏洞將惡意 Javascript 注入設(shè)備“index.html”登錄頁。

此后，X-Force 在發(fā)布的報(bào)告中表示附加到合法 "index.html "文件的腳本會(huì)加載一個(gè)額外遠(yuǎn)程 JavaScript 文件，該文件會(huì)將一個(gè)函數(shù)附加到 VPN 身份驗(yàn)證頁面中的 "登錄 "元素，該函數(shù)則會(huì)收集用戶名和密碼信息，并在身份驗(yàn)證期間將其發(fā)送到遠(yuǎn)程服務(wù)器。

值得一提的是，攻擊鏈從威脅攻擊者向"/gwtest/formssso? event=start&target="發(fā)送網(wǎng)絡(luò)請(qǐng)求時(shí)便已經(jīng)開始了，觸發(fā) CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 寫入一個(gè)簡(jiǎn)單的 PHP web shell，一旦受害目標(biāo)設(shè)備部署了 PHP web shell，攻擊者就會(huì)檢索設(shè)備上 "ns.conf "文件的內(nèi)容。

然后，攻擊者在 "index.html "中添加自定義 HTML 代碼，該代碼引用了托管在攻擊者控制的基礎(chǔ)架構(gòu)上的遠(yuǎn)程 JavaScript 文件。

附加到 "index.html "的 JavaScript 代碼檢索并執(zhí)行后，會(huì)將一個(gè)自定義函數(shù)附加到身份驗(yàn)證頁面上的 "Log_On "按鈕，惡意代碼隨及就能夠收集身份驗(yàn)證表單中的數(shù)據(jù)（包括憑據(jù)），并通過 HTTP POST 方法將其發(fā)送到遠(yuǎn)程主機(jī)。

X-Force 安全研究人員發(fā)現(xiàn)本次網(wǎng)絡(luò)攻擊活動(dòng)中還使用了多個(gè)域名，這些域名分別于 8 月 5 日、6 日和 14 日注冊(cè)，并利用 Cloudflare 掩蓋了域名的托管地。在安全研究人員確定威脅攻擊者使用的 C2 基礎(chǔ)設(shè)施后，確定了近 600 個(gè)唯一的受害者 IP 地址，這些地址托管著修改過的 NetScaler Gateway 登錄頁面。

分析顯示，大多數(shù)受害者分布在美國和歐洲地區(qū)，雖然目前研究人員無法將這一活動(dòng)與任何已知威脅組織聯(lián)系起來，但已經(jīng)提取到了入侵指標(biāo)（IoCs）。