هکرها از Citrix zero day برای هدف قرار دادن زیرساخت های حیاتی ایالات متحده سوء استفاده می کنند

هزاران شرکت ممکن است در معرض خطر بهره برداری فعال سیتریکس zero-day باشند که هکرها قبلاً از آن برای هدف قرار دادن حداقل یک سازمان زیرساخت حیاتی در ایالات متحده سوء استفاده کرده اند.

Citrix هفته گذشته زنگ خطر را در مورد نقص با رتبه بحرانی به صدا درآورد، که به عنوان CVE-2023-3519 با رتبه بندی شدت 9.8 از 10 ردیابی شد، که بر دستگاه های NetScaler ADC و NetScaler Gateway تأثیر می گذارد. این محصولات شرکتی برای تحویل امن برنامه ها و ارائه اتصال VPN طراحی شده اند و به طور گسترده در سراسر جهان، به ویژه در سازمان های زیرساخت حیاتی استفاده می شوند.

Citrix هشدار داد که روز صفر می‌تواند به یک مهاجم غیرقانونی و از راه دور اجازه دهد تا کد دلخواه را روی یک دستگاه اجرا کند و گفت که شواهدی دارد که نشان می‌دهد این آسیب‌پذیری در طبیعت مورد سوء استفاده قرار گرفته است. سیتریکس به‌روزرسانی‌های امنیتی این آسیب‌پذیری را در 18 جولای منتشر کرد و از مشتریان می‌خواهد تا در اسرع وقت این وصله‌ها را نصب کنند.

چند روز پس از هشدار Citrix، آژانس امنیت سایبری ایالات متحده CISA فاش کرد که این آسیب پذیری علیه یک سازمان زیرساخت حیاتی ایالات متحده در ماه ژوئن مورد سوء استفاده قرار گرفته است و اوایل ماه جولای به آژانس گزارش شده است.

CISA گفت که هکرها از این نقص برای انداختن پوسته وب روی دستگاه NetScaler ADC سازمان سوء استفاده کردند و آنها را قادر می‌سازد تا داده‌ها را از Active Directory سازمان جمع‌آوری و استخراج کنند، از جمله اطلاعات مربوط به کاربران، گروه‌ها، برنامه‌ها و دستگاه‌های موجود در شبکه. اما از آنجایی که ابزار مورد نظر در شبکه سازمان ایزوله شده بود، هکرها قادر به حرکت جانبی نبودند و کنترل کننده دامنه را به خطر انداختند.

در حالی که این سازمان با موفقیت توانست هکرهایی را که سیستم هایش را هدف قرار می دهند دفع کند، هزاران سازمان دیگر ممکن است در معرض خطر باشند. بنیاد Shadowserver، یک سازمان غیرانتفاعی که برای ایمن‌تر کردن اینترنت کار می‌کند، گفت پیدا کرده است بیش از 15000 سرور Citrix در سراسر جهان در معرض خطر قرار دارند مگر اینکه وصله ها اعمال شوند.

بر اساس تجزیه و تحلیل آنها، بیشترین تعداد سرورهای اصلاح نشده در ایالات متحده (5700) و پس از آن آلمان (1500)، بریتانیا (1000) و استرالیا (582) قرار دارند.

هنوز مشخص نیست که چه کسی در پشت بهره برداری از این آسیب پذیری قرار دارد، اما آسیب پذیری های Citrix هم توسط مجرمان سایبری با انگیزه مالی و هم عاملان تهدید تحت حمایت دولت، از جمله گروه های مرتبط با چین، مورد سوء استفاده قرار می گیرند.

در یک پست وبلاگی که در آخر هفته منتشر شد، محققان Mandiant گفتند که اگرچه هنوز نمی‌توانند این نفوذها را به هیچ گروه تهدید شناخته شده نسبت دهند، اما این فعالیت «با عملیات‌های قبلی بازیگران China-nexus بر اساس توانایی‌ها و اقدامات شناخته شده علیه Citrix ADC در سال 2022 سازگار است». Mandiant اضافه کرد که این نفوذها احتمالاً بخشی از یک کمپین جمع آوری اطلاعات است و خاطرنشان کرد که عوامل تهدید با انگیزه جاسوسی همچنان به هدف قرار دادن فناوری هایی که از راه حل های تشخیص نقطه پایانی و پاسخ پشتیبانی نمی کنند، مانند فایروال ها، دستگاه های IoT، هایپروایزر و VPN ها ادامه می دهند.

محققان می‌گویند: «ماندیانت ده‌ها نفوذ در پایگاه‌های صنعتی دفاعی (DIB)، دولت، فناوری و سازمان‌های مخابراتی را در طول سال‌ها مورد بررسی قرار داده است، جایی که گروه‌های مشکوک چین-nexus از آسیب‌پذیری‌های روز صفر سوءاستفاده کرده و بدافزار سفارشی را برای سرقت اعتبار کاربران و حفظ دسترسی طولانی‌مدت به محیط‌های قربانی مستقر کرده‌اند.