Une faille critique récemment révélée dans les appareils Citrix NetScaler ADC et Gateway est exploitée par des acteurs malveillants pour mener une campagne de collecte d’informations d’identification.
IBM X-Force, qui a découvert l’activité le mois dernier, dit Les adversaires ont exploité « CVE-2023-3519 pour attaquer les passerelles NetScaler non corrigées afin d’insérer un script malveillant dans le contenu HTML de la page Web d’authentification afin de capturer les informations d’identification de l’utilisateur. »
CVE-2023-3519 (score CVSS : 9,8), corrigée par Citrix en juillet 2023, est une vulnérabilité critique d’injection de code qui pourrait conduire à l’exécution de code à distance non authentifié. Au cours des derniers mois, il a été largement exploité pour infiltrer des appareils vulnérables et obtenir un accès persistant pour des attaques ultérieures.
Dans la dernière chaîne d’attaque découverte par IBM X-Force, les opérateurs ont envoyé une requête Web spécialement conçue pour déclencher l’exploitation de CVE-2023-3519 et déployer un shell Web basé sur PHP.
L’accès offert par le shell Web est ensuite exploité pour ajouter un code personnalisé à la page de connexion NetScaler Gateway qui fait référence à un fichier JavaScript distant hébergé sur une infrastructure contrôlée par l’attaquant.
Le code JavaScript est conçu pour collecter les données du formulaire contenant les informations de nom d’utilisateur et de mot de passe fournies par l’utilisateur et les transmettre à un serveur distant via une méthode HTTP POST lors de l’authentification.
La société a déclaré avoir identifié « au moins 600 adresses IP uniques de victimes hébergeant des pages de connexion NetScaler Gateway modifiées », la majorité d’entre elles étant situées aux États-Unis et en Europe. Les attaques seraient de nature opportuniste en raison du fait que les ajouts apparaissent plus d’une fois.
On ne sait pas exactement quand la campagne a commencé, mais la première modification de la page de connexion remonte au 11 août 2023, ce qui indique qu’elle est en cours depuis près de deux mois. Il n’a été attribué à aucun acteur ou groupe menaçant connu.
Cette divulgation intervient alors que Fortinet FortiGuard Labs a découvert une version mise à jour de la campagne DDoS basée sur IZ1H9 Mirai qui utilise une liste révisée d’exploits ciblant diverses failles dans les caméras IP et les routeurs de D-Link, Geutebrück, Korenix, Netis, Sunhillo SureLineTP-Link, TOTOLINK, Yealink et Zyxel.
« Cela met en évidence la capacité de la campagne à infecter les appareils vulnérables et à étendre considérablement son botnet grâce à l’utilisation rapide du code d’exploitation récemment publié, qui englobe de nombreux CVE », a déclaré Cara Lin, chercheuse en sécurité. dit.
L’exploitation réussie des vulnérabilités ouvre la voie au déploiement d’un téléchargeur de script shell utilisé pour récupérer la charge utile IZ1H9, transformant les machines Linux compromises en robots contrôlés à distance pour des attaques par force brute et DDoS à grande échelle.
« Pour contrer cette menace, il est fortement recommandé aux organisations d’appliquer rapidement les correctifs lorsqu’ils sont disponibles et de toujours modifier les informations de connexion par défaut des appareils », a déclaré Lin.
Le développement coïncide également avec une nouvelle faille d’injection de commandes à distance non corrigée affectant le prolongateur de portée D-Link DAP-X1860 (CVE-2023-45208) qui pourrait être utilisée par les acteurs malveillants pour exécuter des commandes shell pendant le processus de configuration en créant un réseau Wi-Fi. avec un SSID contrefait contenant le symbole de l’apostrophe, selon Test d’intrusion RedTeam.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), dans un avis publié le mois dernier, a souligné le risque d’attaques DDoS volumétriques contre les sites Web et les services Web associés, exhortant les organisations à mettre en œuvre des mesures d’atténuation appropriées pour réduire la menace.
« Ces attaques ciblent des sites Web spécifiques dans le but d’épuiser les ressources du système cible, de rendre la cible inaccessible ou inaccessible et de refuser aux utilisateurs l’accès au service », précise-t-on. dit.