مشاهده شده است که هکرها از یک آسیبپذیری روز صفر در محصول Citrix برای هدف قرار دادن حداقل یک سازمان زیرساخت حیاتی در ایالات متحده سوء استفاده میکنند.
این خبر که توسط TechCrunch گزارش شده است، از آن زمان توسط آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و همچنین چندین شرکت امنیت سایبری تایید شده است.
طبق این گزارش، هکرهای ناشناس از نقصی در NetScaler ADC و NetScaler Gateway استفاده کردند که با نام CVE-2023-3519 ردیابی شده است. درجه شدت آن 9.8 است که آن را به یک نقص مهم تبدیل می کند. آنها از آن برای اجرای کد دلخواه بر روی دستگاه ها به عنوان کاربران احراز هویت نشده استفاده کردند. NetScaler ADC و NetScaler Gateway محصولاتی در سطح سازمانی هستند که برای تحویل امن برنامهها و خدمات VPN ساخته شدهاند.
تهدید روز صفر سیتریکس
چند روز پس از اینکه Citrix یک اصلاحیه را منتشر کرد و از کاربران خواست فوراً آن را اعمال کنند زیرا این نقص در طبیعت مورد استفاده قرار میگرفت، CISA اعلام کرد که این نقص مورد سوء استفاده در ماه ژوئن علیه یک سازمان زیرساختهای حیاتی ایالات متحده ناشناس را مشاهده کرده است.
به گفته CISA، مهاجمان از این نقص برای ارائه یک پوسته وب در NetScaler ADC استفاده کردند که به آنها اجازه می داد داده های حساس را از Active Directory شرکت سرقت کنند. خبر خوب این است که دستگاه در داخل شبکه ایزوله شده بود و از حرکت جانبی مهاجمان جلوگیری می کرد و آسیب بیشتری وارد می کرد.
این شرکت ممکن است با یک خراش کنار رفته باشد، اما دیگران ممکن است آسیب جدی ببینند، این نشریه بیان میکند که بیش از 15000 سرور Citrix در سراسر جهان هنوز اصلاح نشدهاند و به همین دلیل در برابر این نقص آسیبپذیر هستند. بیشتر آنها در ایالات متحده (5700) و تعداد قابل توجهی نیز در آلمان (1500) و بریتانیا (1000) هستند.
سیتریکس میگوید تا کنون نمیداند چه کسی از این نقص استفاده کرده است، اما هم به بازیگران دارای انگیزه مالی و هم به بازیگران حمایتشده از سوی دولت مشکوک است. دوباره از چین نام برده می شود. محققان Mandiant نیز در همین راستا بودند و گفتند که این فعالیت «با عملیات قبلی بازیگران China-nexus بر اساس تواناییها و اقدامات شناخته شده علیه Citrix ADC در سال 2022 مطابقت دارد».
آخرین دیدگاهها