Un acteur malveillant a compromis près de 2 000 000 serveurs Citrix NetScaler dans une campagne massive exploitant l’exécution de code à distance de gravité critique suivie comme CVE-2023-3519.
Plus de 1 200 serveurs ont fait l’objet d’une porte dérobée avant que les administrateurs n’installent le correctif de la vulnérabilité et continuent d’être compromis car ils n’ont pas été vérifiés pour détecter des signes d’exploitation réussie, selon les chercheurs.
RCE exploité pour pirater 6% de tous les serveurs vulnérables
Les chercheurs en sécurité de la société de cybersécurité Fox-IT (qui fait partie du groupe NCC) et de l’Institut néerlandais de divulgation des vulnérabilités (DIVD) ont découvert une campagne à grande échelle qui a planté des webshells sur les serveurs Citrix Netscaler vulnérables à CVE-2023-3519.
Bien que la vulnérabilité ait reçu un correctif le 18 juillet, les pirates ont commencé à l’exploiter dans la nature comme un jour zéro pour exécuter du code sans authentification.
Le 21 juillet, la Cybersecurity and Infrastructure Security Agency (CISA) a averti que la vulnérabilité avait été exploitée pour violer une organisation d’infrastructure critique aux États-Unis.
Plus tôt ce mois-ci, l’organisation à but non lucratif The Shadowserver Foundation a découvert que des pirates avaient infecté plus de 640 serveurs Citrix NetScaler et installé des shells Web pour l’accès à distance et la persistance.
Au cours des deux derniers mois, Fox-IT a répondu à de multiples incidents liés à l’exploitation de CVE-2023-3519 et a découvert des serveurs compromis avec plusieurs shells Web.
En utilisant les détails des portes dérobées, Fox-IT et DIVD ont pu analyser Internet à la recherche d’appareils sur lesquels les shells Web étaient installés. Les administrateurs peuvent reconnaître leurs analyses en consultant les journaux Citrix HTTP Access pour l’agent utilisateur : DIVD-2023-00033.
Initialement, les analyses ne considéraient que les systèmes vulnérables, mais ont ensuite été étendues aux instances Citrix qui ont reçu la mise à jour pour corriger CVE-2023-3519.
Cela a révélé que 1 952 serveurs NetScaler étaient équipés de portes dérobées avec les mêmes shells Web que Fox-IT avait trouvés lors des missions de réponse aux incidents, indiquant que l’adversaire avait utilisé une méthode automatisée pour exploiter la vulnérabilité à grande échelle.
Dans un contexte plus large, les 1 952 serveurs dérobés représentent plus de 6 % des 31 127 instances Citrix NetScaler vulnérables à CVE-2023-3519 au niveau mondial lorsque la campagne était active.
Parmi les serveurs compromis découverts, Fox-IT indique que 1 828 restaient en porte dérobée le 14 août et que 1 247 avaient été corrigés après que les pirates aient planté les shells Web.
Le 10 août, Fox-IT et DIVD ont commencé à contacter les organisations, soit directement, soit par l’intermédiaire de CERT nationaux, au sujet des instances NetScaler compromises sur leur réseau.
Hier, le plus grand nombre de serveurs Citrix NetScaler compromis, à la fois corrigés et non corrigés, se trouvait en Allemagne, suivie de la France et de la Suisse.
Fox-IT affirme que l’Europe est la plus touchée, soulignant que sur les 10 pays les plus touchés, seuls deux proviennent d’une région différente du monde.
Un autre détail que les chercheurs ont observé est que, alors que le Canada, la Russie et les États-Unis avaient des milliers de serveurs NetScaler vulnérables le 21 juillet, ils ont trouvé des shells Web compromettants sur presque aucun d’entre eux.
Fox-IT indique que le nombre de serveurs Citrix NetScaler concernés est en baisse, mais qu’il existe encore de nombreuses instances compromises.
Les chercheurs avertissent qu’un serveur NetScaler corrigé peut toujours avoir une porte dérobée et recommandent aux administrateurs d’effectuer un triage de base sur leurs systèmes.
Ils fournissent un script Python qui utilise la boîte à outils Dissect forensics and incident response.
Mandiant a également publié un scanner qui recherche des indicateurs de compromis liés aux attaques exploitant CVE-2023-3519. Les chercheurs avertissent cependant que l’exécution de ce script bash deux fois entraîne des faux positifs car « certaines recherches sont écrites dans les journaux NetScaler chaque fois que le script est exécuté ».