Ciberseguridad 360 | Dispositivos Citrix bajo ataque

?Un fallo cr�tico recientemente revelado en los dispositivos Citrix NetScaler ADC y Gateway est� siendo explotado por hackers para llevar a cabo una campa�a de recolecci�n de credenciales.

IBM X-Force, que descubri� la actividad el mes pasado, dijo que los adversarios explotaron "CVE-2023-3519 para atacar NetScaler Gateways sin parches para insertar un script malicioso en el contenido HTML de la p�gina web de autenticaci�n para capturar las credenciales de usuario".

CVE-2023-3519 (puntuaci�n CVSS: 9,8), abordado por Citrix en julio de 2023, es una vulnerabilidad cr�tica de inyecci�n de c�digo que podr�a conducir a la ejecuci�n remota de c�digo sin autenticaci�n. En los �ltimos meses, ha sido muy explotada para infiltrarse en dispositivos vulnerables y obtener acceso persistente para ataques de seguimiento.

En la �ltima cadena de ataques descubierta por IBM X-Force, los operadores enviaban una petici�n web especialmente dise�ada para activar la explotaci�n de CVE-2023-3519 y desplegar una shell web basada en PHP.

El acceso proporcionado por el shell web se aprovecha posteriormente para a�adir c�digo personalizado a la p�gina de inicio de sesi�n de NetScaler Gateway que hace referencia a un archivo JavaScript remoto alojado en la infraestructura controlada por el atacante.

El c�digo JavaScript est� dise�ado para recoger los datos del formulario que contiene la informaci�n de nombre de usuario y contrase�a suministrada por el usuario y transmitirla a un servidor remoto a trav�s de un m�todo HTTP POST tras la autenticaci�n.

La empresa afirma haber identificado "al menos 600 direcciones IP de v�ctimas �nicas que alojaban p�ginas de inicio de sesi�n de NetScaler Gateway modificadas", la mayor�a de ellas ubicadas en Estados Unidos y Europa. Se dice que los ataques son de naturaleza oportunista debido a que los a�adidos aparecen m�s de una vez.

No est� claro exactamente cu�ndo comenz� la campa�a, pero la primera modificaci�n de la p�gina de inicio de sesi�n es del 11 de agosto de 2023, lo que indica que lleva en marcha casi dos meses. No se ha atribuido a ning�n actor o grupo de amenazas conocido.

La revelaci�n se produce cuando Fortinet FortiGuard Labs descubri� una versi�n actualizada de la campa�a DDoS basada en Mirai IZ1H9 que hace uso de una lista revisada de exploits dirigidos a varios fallos en c�maras IP y routers de D-Link, Geutebr�ck, Korenix, Netis, Sunhillo SureLine, TP-Link, TOTOLINK, Yealink y Zyxel.

"Esto pone de manifiesto la capacidad de la campa�a para infectar dispositivos vulnerables y ampliar dr�sticamente su red de bots mediante la r�pida utilizaci�n del c�digo de exploits publicado recientemente, que abarca numerosos CVE", declar� la investigadora de seguridad Cara Lin.

La explotaci�n exitosa de las vulnerabilidades allana el camino para el despliegue de un descargador de secuencias de comandos de shell que se utiliza para recuperar la carga �til IZ1H9, convirtiendo las m�quinas Linux comprometidas en bots controlados a distancia para ataques de fuerza bruta y DDoS a gran escala.

"Para contrarrestar esta amenaza, se recomienda encarecidamente que las organizaciones apliquen r�pidamente los parches cuando est�n disponibles y cambien siempre las credenciales de inicio de sesi�n por defecto de los dispositivos", afirma Lin.

El desarrollo tambi�n coincide con un nuevo fallo no parcheado de inyecci�n remota de comandos que afecta al extensor de rango D-Link DAP-X1860 (CVE-2023-45208) y que podr�a ser utilizado por hackers para ejecutar comandos shell durante el proceso de configuraci�n mediante la creaci�n de una red Wi-Fi con un SSID manipulado que contenga el s�mbolo del ap�strofe, seg�n RedTeam Pentesting.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA), en un aviso publicado el mes pasado, subray� el riesgo de ataques DDoS volum�tricos contra sitios web y servicios web relacionados, instando a las organizaciones a implementar mitigaciones apropiadas para reducir la amenaza.

"Estos ataques se dirigen a sitios web espec�ficos con el objetivo de agotar los recursos del sistema de destino, hacer que el objetivo sea inalcanzable o inaccesible y denegar a los usuarios el acceso al servicio", dijo.

Fuente: thehackernews