近 2000 台 Citrix NetScaler 服务器遭到破坏

Bleeping Computer 网站披露在某次大规模网络攻击活动中,一名攻击者利用被追踪为 CVE-2023-3519 的高危远程代码执行漏洞,入侵了近 2000 台 Citrix NetScaler 服务器。

研究人员表示在管理员安装漏洞补丁之前已经有 1200 多台服务器被设置了后门,再加上没有对漏洞是否被利用做详细检查,目前这些服务器仍在继续被入侵。

利用 RCE 入侵了 6% 的易受攻击服务器

据悉,网络安全公司 Fox-IT(隶属于 NCC 集团)和荷兰漏洞披露研究所 (DIVD) 的安全研究人员发现网络攻击者在易受 CVE-2023-3519 影响的 Citrix Netscaler 服务器上植入了 webshell,虽然在 7 月 18 日已经有了漏洞补丁,但攻击者已开始在野外将其作为零日漏洞加以利用,在未经身份验证的情况下执行任意代码。

值得一提的是,7 月 21 日,网络安全和基础设施安全局(CISA)指出黑客组织利用该漏洞入侵了美国的一个关键基础设施组织,早些时候,非营利组织 The Shadowserver Foundation 也发现黑客已经感染了 640 多台 Citrix NetScaler 服务器,并植入了用于远程访问和持久性的后门。

过去的两个月里,Fox-IT 处理了多起与 CVE-2023-3519 漏洞利用相关的安全事件,并发现服务器被植入了多个后门。Fox-IT 和 DIVD 在互联网上扫描安装了后门的设备,管理员通过检查 Citrix HTTP 访问日志中的用户代理来识别其扫描: DIVD-2023-00033。一开始,扫描只考虑了易受攻击的服务器系统,后来逐渐扩展到了 Citrix 实例。

扫描结果显示,1952 台 NetScaler 服务器后门与 Fox IT 在事件响应过程中发现的网络外壳相同,这就表明网络攻击者大规模利用了 CVE-2023-3519 漏洞。

(来源:Fox-IT Fox-IT)

从更大的范围来看,1952 台被后台屏蔽的服务器占全球 31127 台 Citrix NetScaler 实例的 6% 以上,这些实例在攻击活动期间易受 CVE-2023-3519 影响。

Fox-IT 指出在已发现的被入侵服务器中有 1828 台在 8 月 14 日仍被屏蔽,有 1247 台在网络植入网络后门后已经打上了补丁。

已打补丁且存在漏洞的 Citrix NetScaler (来源:Fox-IT/Fox-IT)

8 月 10 日,Fox-IT 和 DIVD 开始直接或通过国家 CERT 向组织机构通报其网络上受攻击的 NetScaler 实例。

几天前,德国的 Citrix NetScaler 服务器(包括已打补丁和未打补丁的)受到攻击的数量最多,其次是法国和瑞士。

存在 Citrix NetScaler 服务器后门的前 20 个国家(来源:Fox-IT Fox-IT)

Fox-IT 表示虽然受影响的 Citrix NetScaler 服务器数量正在下降,但仍有大量被入侵的实例,其中欧洲受漏洞影响最大。此外,研究人员观察到虽然加拿大、俄罗斯和美国在 7 月 21 日有数千台易受攻击的 NetScaler 服务器,但几乎没有在其中任何一台服务器上发现入侵的 Web 外壳。

最后,研究人员强调打了补丁的 NetScaler 服务器仍然可能有后门,建议管理员对其系统进行基本分类。

相关推荐
HPC_fac1305206781623 分钟前
科研深度学习:如何精选GPU以优化服务器性能
服务器·人工智能·深度学习·神经网络·机器学习·数据挖掘·gpu算力
Elihuss1 小时前
ONVIF协议操作摄像头方法
开发语言·php
sun0077007 小时前
ubuntu dpkg 删除安装包
运维·服务器·ubuntu
oi777 小时前
使用itextpdf进行pdf模版填充中文文本时部分字不显示问题
java·服务器
吃肉不能购9 小时前
Label-studio-ml-backend 和YOLOV8 YOLO11自动化标注,目标检测,实例分割,图像分类,关键点估计,视频跟踪
运维·yolo·自动化
学Linux的语莫9 小时前
Ansible使用简介和基础使用
linux·运维·服务器·nginx·云计算·ansible
qq_312920119 小时前
docker 部署 kvm 图形化管理工具 WebVirtMgr
运维·docker·容器
Onlooker1299 小时前
云服务器部署WebSocket项目
服务器
学Linux的语莫9 小时前
搭建服务器VPN,Linux客户端连接WireGuard,Windows客户端连接WireGuard
linux·运维·服务器