مهاجمان سایبری حدود 2000 سرور Citrix NetScaler را طی یک عملیات بهره برداری گسترده از طریق آسیب پذیری CVE-2023-3519 آلوده نموده اند.
بیش از 1200سرور قبل از اینکه مدیران سیستم ها آسیب پذیری مذکور را وصله نمایند تبدیل به backdoor شده و همچنان این تعداد رو به افزایش است.
محققین امنیتی یک کمپین گسترده کشف کرده اند که web shellهایی را روی سرورهای آسیب پذیر قرار میدهند. با اینکه وصله مربوط به این آسیب پذیری در 18 جولای منتشر شده است اما قبل از آن مهاجمان تحت عنوان یک آسیب پذیری Zero-day از آن بهره برداری نموده اند.
با استفاده از جزییات backdoor محققین توانستند دستگاههای متصل به اینترنتی که این web shell روی آنها نصب شده است را پیدا کنند. مدیران سیستم می توانند Citrix HTTP Access log برای اجینت کاربر DIVD-2023-00033 خود را بررسی نمایند.
در ابتدا نتیجه این اسکن محدود به سیستم های آسیب پذیر بود ولی بعدا آن دسته از دستگاههای Citrix که آپدیت را دریافت نموده اند نیز شامل شد.
در نهایت مشخص شده است که حدود 1952 سرور از طریق یک web shell مشابه تبدیل به backdoor شده اند و نشان دهنده این موضوع است که مهاجم از روشی خودکار برای بهره برداری از این آسیب پذیری به صورت گسترده استفاده نموده است.
تا روز 14 آگوست همچنان 1828 سرور backdoor باقی مانده اند و از این تعداد 1247 سرور بعد از اینکه هکرها web shell را روی آنها نصب کردند، وصله شده اند.
طبق گزارشات بیشترین تعداد سرورهای آلوده در اروپا بوده اند. همچنین محققین هشدار میدهند که سرورهای وصله شده نیز می توانند backdoor باشند و پیشنهاد می شود مدیران شبکه اقدامات لازم را روی سیستم های خود انجام دهند.
منبع:
https://www.bleepingcomputer.com/
