Security Affairs 網(wǎng)站披露，IBM X-Force 研究人員發(fā)現(xiàn)威脅攻擊者正在利用 Citrix NetScaler 網(wǎng)關(guān)存在的CVE-2023-3519 漏洞（CVSS評分：9.8），開展大規(guī)模的憑證收集活動。

2023 年 7 月底，Citrix 警告客戶 NetScaler 應(yīng)用交付控制器（ADC）和網(wǎng)關(guān)中存在的 CVE-2023-3519 漏洞正在被惡意利用。據(jù)悉，該漏洞是一個代碼注入漏洞，可導致未經(jīng)驗證的遠程代碼執(zhí)行。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）也曾針對 CVE-2023-3519 發(fā)出過警示。CISA 透露威脅攻擊者正在利用該漏洞在易受攻擊的系統(tǒng)上投放 Web 外殼，其目標可能是部署在關(guān)鍵基礎(chǔ)設(shè)施組織網(wǎng)絡(luò)中的 NetScaler ADC 設(shè)備。

一個月后，非營利組織 Shadowserver Foundation 安全研究人員指出數(shù)百臺 Citrix Netscaler ADC 和網(wǎng)關(guān)服務(wù)器已被網(wǎng)絡(luò)攻擊者破壞。

威脅攻擊者正在“積極”利用漏洞

X-Force 在為一個客戶端進行事件響應(yīng)活動時發(fā)現(xiàn)上述網(wǎng)絡(luò)攻擊活動。客戶端報告稱在 NetScaler 安裝時身份驗證緩慢，攻擊者利用該漏洞將惡意 Javascript 注入設(shè)備“index.html”登錄頁。

此后，X-Force 在發(fā)布的報告中表示附加到合法 "index.html "文件的腳本會加載一個額外遠程 JavaScript 文件，該文件會將一個函數(shù)附加到 VPN 身份驗證頁面中的 "登錄 "元素，該函數(shù)則會收集用戶名和密碼信息，并在身份驗證期間將其發(fā)送到遠程服務(wù)器。

值得一提的是，攻擊鏈從威脅攻擊者向"/gwtest/formssso? event=start&target="發(fā)送網(wǎng)絡(luò)請求時便已經(jīng)開始了，觸發(fā) CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 寫入一個簡單的 PHP web shell，一旦受害目標設(shè)備部署了 PHP web shell，攻擊者就會檢索設(shè)備上 "ns.conf "文件的內(nèi)容。

然后，攻擊者在 "index.html "中添加自定義 HTML 代碼，該代碼引用了托管在攻擊者控制的基礎(chǔ)架構(gòu)上的遠程 JavaScript 文件。

附加到 "index.html "的 JavaScript 代碼檢索并執(zhí)行后，會將一個自定義函數(shù)附加到身份驗證頁面上的 "Log_On "按鈕，惡意代碼隨及就能夠收集身份驗證表單中的數(shù)據(jù)（包括憑據(jù)），并通過 HTTP POST 方法將其發(fā)送到遠程主機。

X-Force 安全研究人員發(fā)現(xiàn)本次網(wǎng)絡(luò)攻擊活動中還使用了多個域名，這些域名分別于 8 月 5 日、6 日和 14 日注冊，并利用 Cloudflare 掩蓋了域名的托管地。在安全研究人員確定威脅攻擊者使用的 C2 基礎(chǔ)設(shè)施后，確定了近 600 個唯一的受害者 IP 地址，這些地址托管著修改過的 NetScaler Gateway 登錄頁面。

分析顯示，大多數(shù)受害者分布在美國和歐洲地區(qū)，雖然目前研究人員無法將這一活動與任何已知威脅組織聯(lián)系起來，但已經(jīng)提取到了入侵指標（IoCs）。