Ciberseguridad 360 | Citrix NetScaler : Explotacion de vulnerabilidad critica

Un actor de amenazas que se cree est� vinculado al grupo de hackers FIN8 explota el fallo de ejecuci�n remota de c�digo CVE-2023-3519 para comprometer sistemas Citrix NetScaler no parcheados en ataques a nivel de dominio.

Sophos ha estado vigilando esta campa�a desde mediados de agosto, informando de que el autor de la amenaza realiza inyecciones de carga �til, utiliza BlueVPS para almacenar malware, despliega scripts PowerShell ofuscados y deja caer webshells PHP en las m�quinas de las v�ctimas.

Las similitudes con otro ataque que los analistas de Sophos observaron a principios de verano han llevado a los analistas a deducir que las dos actividades est�n relacionadas, y que el actor de la amenaza est� especializado en ataques de ransomware.

Ataques a Citrix

CVE-2023-3519 es un fallo de inyecci�n de c�digo de gravedad cr�tica (puntuaci�n CVSS: 9,8) en Citrix NetScaler ADC y NetScaler Gateway, descubierto como un zero-day activamente explotado a mediados de julio de 2023.

El proveedor public� actualizaciones de seguridad para el problema el 18 de julio, pero hab�a pruebas de que los ciberdelincuentes estaban supuestamente vendiendo un exploit para el fallo desde al menos el 6 de julio de 2023.

El 2 de agosto, Shadowserver inform� del descubrimiento de 640 webshells en un n�mero igual de servidores Citrix comprometidos, y dos semanas m�s tarde, Fox-IT elev� esa cifra a 1952.

A mediados de agosto, m�s de 31000 instancias de Citrix NetScaler segu�an siendo vulnerables a CVE-2023-3519, m�s de un mes despu�s de que se pusiera a disposici�n la actualizaci�n de seguridad, dando a los actores de amenazas muchas oportunidades para realizar ataques.

Sophos X-Ops informa ahora de que un actor de amenazas al que sigue la pista como "STAC4663" est� explotando CVE-2023-3519, que los investigadores creen que forma parte de la misma campa�a sobre la que Fox-IT inform� a principios de este mes.

La carga �til utilizada en los recientes ataques, que se inyecta en "wuauclt.exe" o "wmiprvse.exe", a�n est� siendo analizada. Aun as�, Sophos cree que forma parte de una cadena de ataques de ransomware bas�ndose en el perfil del atacante.

Sophos dijo a BleepingComputer que la campa�a se eval�a con confianza moderada para ser vinculada al grupo de hacking FIN8, que fue visto recientemente desplegando el BlackCat/ALPHV ransomware.

Esta suposici�n y la correlaci�n con la campa�a anterior del actor del ransomware se basan en el descubrimiento de dominios, plink, alojamiento BlueVPS, secuencias de comandos PowerShell inusuales y la copia segura PuTTY [pscp].

Por �ltimo, los atacantes utilizan una direcci�n IP C2 (45.66.248.189) para la puesta en escena del malware y una segunda direcci�n IP C2 (85.239.53.49) que responde al mismo software C2 que en la campa�a anterior.

Sophos ha publicado una lista de IoCs (indicadores de compromiso) para esta campa�a en GitHub para ayudar a los defensores a detectar y detener la amenaza.

Si no ha aplicado las actualizaciones de seguridad en los dispositivos Citrix ADC y Gateway, siga las acciones recomendadas en el bolet�n de seguridad del proveedor.

Fuente: bleepingcomputer