Los actores de amenazas están aprovechando una falla crítica recientemente revelada en los dispositivos Citrix NetScaler ADC y Gateway para llevar a cabo una campaña de recolección de credenciales.
IBM X-Force, que descubrió la actividad el mes pasado, dicho Los adversarios explotaron «CVE-2023-3519 para atacar NetScaler Gateways sin parches e insertar un script malicioso en el contenido HTML de la página web de autenticación para capturar las credenciales del usuario».
CVE-2023-3519 (puntuación CVSS: 9,8), abordada por Citrix en julio de 2023, es una vulnerabilidad crítica de inyección de código que podría conducir a la ejecución remota de código no autenticado. En los últimos meses, ha sido ampliamente explotado para infiltrarse en dispositivos vulnerables y obtener acceso persistente para ataques posteriores.
En la última cadena de ataque descubierta por IBM X-Force, los operadores enviaron una solicitud web especialmente diseñada para desencadenar la explotación de CVE-2023-3519 e implementar un shell web basado en PHP.
El acceso proporcionado por el shell web se aprovecha posteriormente para agregar código personalizado a la página de inicio de sesión de NetScaler Gateway que hace referencia a un archivo JavaScript remoto alojado en una infraestructura controlada por el atacante.
El código JavaScript está diseñado para recopilar los datos del formulario que contienen la información de nombre de usuario y contraseña proporcionada por el usuario y transmitirlos a un servidor remoto a través de un método HTTP POST tras la autenticación.
La compañía dijo que identificó «al menos 600 direcciones IP de víctimas únicas que alojan páginas de inicio de sesión de NetScaler Gateway modificadas», la mayoría de ellas ubicadas en EE. UU. y Europa. Se dice que los ataques son de naturaleza oportunista debido a que las adiciones aparecen más de una vez.
No está exactamente claro cuándo comenzó la campaña, pero la primera modificación de la página de inicio de sesión fue el 11 de agosto de 2023, lo que indica que ha estado en marcha durante casi dos meses. No se ha atribuido a ningún actor o grupo de amenazas conocido.
La divulgación se produce cuando Fortinet FortiGuard Labs descubrió una versión actualizada de la campaña DDoS basada en IZ1H9 Mirai que hace uso de una lista revisada de exploits dirigidos a varias fallas en cámaras IP y enrutadores de D-Link, Geutebrück, Korenix, Netis, Sunhillo SureLineTP-Link, TOTOLINK, Yealink y Zyxel.
«Esto resalta la capacidad de la campaña para infectar dispositivos vulnerables y expandir dramáticamente su botnet mediante la rápida utilización del código de explotación publicado recientemente, que abarca numerosos CVE», dijo la investigadora de seguridad Cara Lin. dicho.
La explotación exitosa de las vulnerabilidades allana el camino para la implementación de un descargador de scripts de shell que se utiliza para recuperar la carga útil IZ1H9, convirtiendo las máquinas Linux comprometidas en bots controlados remotamente para ataques DDoS y de fuerza bruta a gran escala.
«Para contrarrestar esta amenaza, se recomienda encarecidamente que las organizaciones apliquen rápidamente parches cuando estén disponibles y cambien siempre las credenciales de inicio de sesión predeterminadas para los dispositivos», dijo Lin.
El desarrollo también coincide con una nueva falla de inyección remota de comandos sin parches que afecta al extensor de alcance D-Link DAP-X1860 (CVE-2023-45208) y que podría ser utilizado por actores de amenazas para ejecutar comandos de shell durante el proceso de configuración mediante la creación de una red Wi-Fi. con un SSID elaborado que contiene el símbolo de apóstrofe, según Pentesting del equipo rojo.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en un aviso publicado el mes pasado, subrayó el riesgo de ataques DDoS volumétricos contra sitios web y servicios web relacionados, e instó a las organizaciones a implementar mitigaciones adecuadas para reducir la amenaza.
«Estos ataques se dirigen a sitios web específicos con el objetivo de agotar los recursos del sistema objetivo, hacer que el objetivo sea inalcanzable o inaccesible y negar a los usuarios el acceso al servicio», señala. dicho.