Los actores de amenazas están explotando una falla crítica recientemente revelada en los dispositivos Citrix NetScaler ADC y Gateway para llevar a cabo una campaña de recolección de credenciales.
IBM X-Force, que descubrió la actividad el mes pasado, dijo que los adversarios explotaron “CVE-2023-3519 para atacar NetScaler Gateways sin parches para insertar un script malicioso en el contenido HTML de la página web de autenticación para capturar las credenciales del usuario”.
CVE-2023-3519 (puntuación CVSS: 9,8), abordado por Citrix en julio de 2023, es una vulnerabilidad crítica de inyección de código que podría provocar la ejecución remota de código no autenticado. En los últimos meses, se ha explotado en gran medida para infiltrarse en dispositivos vulnerables y obtener acceso persistente para ataques posteriores.
En la última cadena de ataque descubierta por IBM X-Force, los operadores enviaron una solicitud web especialmente diseñada para desencadenar la explotación de CVE-2023-3519 y desplegar un shell web basado en PHP.
El acceso que ofrece el shell web se aprovecha posteriormente para anexar código personalizado a la página de inicio de sesión de NetScaler Gateway que hace referencia a un archivo JavaScript remoto alojado en una infraestructura controlada por el atacante.
El código JavaScript está diseñado para recopilar los datos del formulario que contienen la información de nombre de usuario y contraseña proporcionada por el usuario y transmitirlos a un servidor remoto a través de un método HTTP POST tras la autenticación.
La compañía dijo que identificó “al menos 600 direcciones IP de víctimas únicas que alojan páginas de inicio de sesión modificadas de NetScaler Gateway”, la mayoría de ellas ubicadas en Estados Unidos y Europa. Se dice que los ataques son de naturaleza oportunista debido al hecho de que las adiciones aparecen más de una vez.
No está exactamente claro cuándo comenzó la campaña, pero la primera modificación de la página de inicio de sesión es el 11 de agosto de 2023, lo que indica que ha estado en marcha durante casi dos meses. No se ha atribuido a ningún actor o grupo de amenazas conocido.
La revelación se produce cuando Fortinet FortiGuard Labs descubrió una versión actualizada de la campaña DDoS basada en IZ1H9 Mirai que hace uso de una lista revisada de exploits dirigidos a varias fallas en cámaras y enrutadores IP de D-Link, Geutebrück, Korenix, Netis, Sunhillo SureLine, TP-Link, TOTOLINK, Yealink y Zyxel.
“Esto pone de manifiesto la capacidad de la campaña para infectar dispositivos vulnerables y expandir drásticamente su botnet a través de la rápida utilización del código de explotación recientemente lanzado, que abarca numerosos CVE”, dijo la investigadora de seguridad Cara Lin.
La explotación exitosa de las vulnerabilidades allana el camino para la implementación de un descargador de scripts de shell que se utiliza para recuperar la carga útil IZ1H9, convirtiendo las máquinas Linux comprometidas en bots controlados de forma remota para ataques de fuerza bruta y DDoS a gran escala.
“Para contrarrestar esta amenaza, se recomienda encarecidamente que las organizaciones apliquen rápidamente parches cuando estén disponibles y que siempre cambien las credenciales de inicio de sesión predeterminadas para los dispositivos”, dijo Lin.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés), en un aviso publicado el mes pasado, subrayó el riesgo de ataques DDoS volumétricos contra sitios web y servicios web relacionados, instando a las organizaciones a implementar mitigaciones adecuadas para reducir la amenaza.
“Estos ataques se dirigen a sitios web específicos con el objetivo de agotar los recursos del sistema objetivo, hacer que el objetivo sea inalcanzable o inaccesible, y negar a los usuarios el acceso al servicio”, dijo.
