Bleeping Computer 網站披露在某次大規模網絡攻擊活動中，一名攻擊者利用被追蹤為 CVE-2023-3519 的高危遠程代碼執行漏洞，入侵了近  2000 臺 Citrix NetScaler 服務器。

研究人員表示在管理員安裝漏洞補丁之前已經有 1200 多臺服務器被設置了后門，再加上沒有對漏洞是否被利用做詳細檢查，目前這些服務器仍在繼續被入侵。

利用 RCE 入侵了 6% 的易受攻擊服務器

據悉，網絡安全公司 Fox-IT（隸屬于 NCC 集團）和荷蘭漏洞披露研究所 (DIVD) 的安全研究人員發現網絡攻擊者在易受 CVE-2023-3519 影響的 Citrix Netscaler 服務器上植入了 webshell，雖然在 7 月 18 日已經有了漏洞補丁，但攻擊者已開始在野外將其作為零日漏洞加以利用，在未經身份驗證的情況下執行任意代碼。

值得一提的是，7 月 21 日，網絡安全和基礎設施安全局（CISA）指出黑客組織利用該漏洞入侵了美國的一個關鍵基礎設施組織，早些時候，非營利組織 The Shadowserver Foundation 也發現黑客已經感染了 640 多臺 Citrix NetScaler 服務器，并植入了用于遠程訪問和持久性的后門。

過去的兩個月里，Fox-IT 處理了多起與 CVE-2023-3519 漏洞利用相關的安全事件，并發現服務器被植入了多個后門。Fox-IT 和 DIVD 在互聯網上掃描安裝了后門的設備，管理員通過檢查 Citrix HTTP 訪問日志中的用戶代理來識別其掃描： DIVD-2023-00033。一開始，掃描只考慮了易受攻擊的服務器系統，后來逐漸擴展到了 Citrix 實例。

掃描結果顯示，1952 臺 NetScaler 服務器后門與 Fox IT 在事件響應過程中發現的網絡外殼相同，這就表明網絡攻擊者大規模利用了 CVE-2023-3519 漏洞。

（來源：Fox-IT Fox-IT）

從更大的范圍來看，1952 臺被后臺屏蔽的服務器占全球 31127 臺 Citrix NetScaler 實例的 6% 以上，這些實例在攻擊活動期間易受 CVE-2023-3519 影響。

Fox-IT 指出在已發現的被入侵服務器中有 1828 臺在 8 月 14 日仍被屏蔽，有 1247 臺在網絡植入網絡后門后已經打上了補丁。

1692175387_64dc8c1b04ab67e3f87d7.png!small?1692175386365

已打補丁且存在漏洞的 Citrix NetScaler （來源：Fox-IT/Fox-IT）

8 月 10 日，Fox-IT 和 DIVD 開始直接或通過國家 CERT 向組織機構通報其網絡上受攻擊的 NetScaler 實例。

幾天前，德國的 Citrix NetScaler 服務器（包括已打補丁和未打補丁的）受到攻擊的數量最多，其次是法國和瑞士。

1692175398_64dc8c26528975e96fa07.png!small?1692175397816

存在 Citrix NetScaler 服務器后門的前 20 個國家（來源：Fox-IT Fox-IT）

Fox-IT 表示雖然受影響的 Citrix NetScaler 服務器數量正在下降，但仍有大量被入侵的實例，其中歐洲受漏洞影響最大。此外，研究人員觀察到雖然加拿大、俄羅斯和美國在 7 月 21 日有數千臺易受攻擊的 NetScaler 服務器，但幾乎沒有在其中任何一臺服務器上發現入侵的 Web 外殼。

最后，研究人員強調打了補丁的 NetScaler 服務器仍然可能有后門，建議管理員對其系統進行基本分類。

文章來源：https://www.bleepingcomputer.com/news/security/almost-2-000-citrix-netscaler-servers-backdoored-in-hacking-campaign/