近 2000 台 Citrix NetScaler 服务器遭到破坏

Bleeping Computer 网站披露在某次大规模网络攻击活动中,一名攻击者利用被追踪为 CVE-2023-3519 的高危远程代码执行漏洞,入侵了近 2000 台 Citrix NetScaler 服务器。

研究人员表示在管理员安装漏洞补丁之前已经有 1200 多台服务器被设置了后门,再加上没有对漏洞是否被利用做详细检查,目前这些服务器仍在继续被入侵。

利用 RCE 入侵了 6% 的易受攻击服务器

据悉,网络安全公司 Fox-IT(隶属于 NCC 集团)和荷兰漏洞披露研究所 (DIVD) 的安全研究人员发现网络攻击者在易受 CVE-2023-3519 影响的 Citrix Netscaler 服务器上植入了 webshell,虽然在 7 月 18 日已经有了漏洞补丁,但攻击者已开始在野外将其作为零日漏洞加以利用,在未经身份验证的情况下执行任意代码。

值得一提的是,7 月 21 日,网络安全和基础设施安全局(CISA)指出黑客组织利用该漏洞入侵了美国的一个关键基础设施组织,早些时候,非营利组织 The Shadowserver Foundation 也发现黑客已经感染了 640 多台 Citrix NetScaler 服务器,并植入了用于远程访问和持久性的后门。

过去的两个月里,Fox-IT 处理了多起与 CVE-2023-3519 漏洞利用相关的安全事件,并发现服务器被植入了多个后门。Fox-IT 和 DIVD 在互联网上扫描安装了后门的设备,管理员通过检查 Citrix HTTP 访问日志中的用户代理来识别其扫描: DIVD-2023-00033。一开始,扫描只考虑了易受攻击的服务器系统,后来逐渐扩展到了 Citrix 实例。

扫描结果显示,1952 台 NetScaler 服务器后门与 Fox IT 在事件响应过程中发现的网络外壳相同,这就表明网络攻击者大规模利用了 CVE-2023-3519 漏洞。

(来源:Fox-IT Fox-IT)

从更大的范围来看,1952 台被后台屏蔽的服务器占全球 31127 台 Citrix NetScaler 实例的 6% 以上,这些实例在攻击活动期间易受 CVE-2023-3519 影响。

Fox-IT 指出在已发现的被入侵服务器中有 1828 台在 8 月 14 日仍被屏蔽,有 1247 台在网络植入网络后门后已经打上了补丁。

已打补丁且存在漏洞的 Citrix NetScaler (来源:Fox-IT/Fox-IT)

8 月 10 日,Fox-IT 和 DIVD 开始直接或通过国家 CERT 向组织机构通报其网络上受攻击的 NetScaler 实例。

几天前,德国的 Citrix NetScaler 服务器(包括已打补丁和未打补丁的)受到攻击的数量最多,其次是法国和瑞士。

存在 Citrix NetScaler 服务器后门的前 20 个国家(来源:Fox-IT Fox-IT)

Fox-IT 表示虽然受影响的 Citrix NetScaler 服务器数量正在下降,但仍有大量被入侵的实例,其中欧洲受漏洞影响最大。此外,研究人员观察到虽然加拿大、俄罗斯和美国在 7 月 21 日有数千台易受攻击的 NetScaler 服务器,但几乎没有在其中任何一台服务器上发现入侵的 Web 外壳。

最后,研究人员强调打了补丁的 NetScaler 服务器仍然可能有后门,建议管理员对其系统进行基本分类。

相关推荐
网硕互联的小客服2 分钟前
503 Service Unavailable:服务器暂时无法处理请求,可能是超载或维护中如何处理?
服务器·git·github
高冷的肌肉码喽39 分钟前
Linux-进程间的通信
linux·运维·服务器
乖乖是干饭王43 分钟前
Linux系统编程中的_GNU_SOURCE宏
linux·运维·c语言·学习·gnu
jekc8681 小时前
禅道18.2集成LDAP
linux·运维·服务器
weixin_307779131 小时前
Linux下GCC和C++实现统计Clickhouse数据仓库指定表中各字段的空值、空字符串或零值比例
linux·运维·c++·数据仓库·clickhouse
Tender_光2 小时前
iptables实验
运维·服务器
szxinmai主板定制专家3 小时前
【飞腾AI加固服务器】全国产化飞腾+昇腾310+PCIe Switch的AI大模型服务器解决方案
运维·服务器·arm开发·人工智能·fpga开发
深科文库3 小时前
构建 MCP 服务器:第 3 部分 — 添加提示
服务器·python·chatgpt·langchain·prompt·aigc·agi
点击查询3 小时前
怎么把自己电脑设置成服务器?
运维·服务器
阿里云大数据AI技术3 小时前
ES Serverless 8.17王牌发布:向量检索「火力全开」,智能扩缩「秒级响应」!
大数据·运维·serverless