Hàng trăm máy chủ Citrix NetScaler ADC và Gateway đã bị các tác nhân độc hại xâm nhập để triển khai web shell, theo Shadowserver Foundation.
Tổ chức phi lợi nhuận cho biết các cuộc tấn công lợi dụng CVE-2023-3519, một lỗ hổng tiêm mã nghiêm trọng có thể dẫn đến việc thực thi mã từ xa không được xác thực.
Lỗ hổng, được Citrix vá vào tháng trước, có điểm CVSS là 9,8.
Số lượng địa chỉ IP bị ảnh hưởng lớn nhất có trụ sở tại Đức, tiếp theo là Pháp, Thụy Sĩ, Ý, Thụy Điển, Tây Ban Nha, Nhật Bản, Trung Quốc, Áo và Brazil.
Việc khai thác CVE-2023-3519 để triển khai vỏ web đã được Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) tiết lộ trước đó, cơ quan này cho biết cuộc tấn công nhằm vào một tổ chức cơ sở hạ tầng quan trọng giấu tên vào tháng 6 năm 2023.
Tiết lộ được đưa ra khi GreyNoise cho biết họ đã phát hiện ba địa chỉ IP đang cố gắng khai thác CVE-2023-24489 (điểm CVSS: 9.1), một lỗ hổng nghiêm trọng khác trong phần mềm Citrix ShareFile cho phép tải lên tệp tùy ý không được xác thực và thực thi mã từ xa.
Vấn đề đã được giải quyết trong bộ điều khiển vùng lưu trữ ShareFile phiên bản 5.11.24 trở lên.
Công ty quản lý bề mặt tấn công Assetnote, đã phát hiện và báo cáo lỗi, đã truy tìm nó đến một phiên bản đơn giản hơn của một cuộc tấn công oracle đệm.
"Chế độ [Cipher Block Chaining] và đệm PKCS # 7 là các giá trị mặc định cho mã hóa AES trong .NET", nhà nghiên cứu bảo mật Dylan Pindur cho biết.
"Hãy nhìn vào cách nó hoạt động khi đệm không hợp lệ so với hợp lệ được cung cấp. Nó có dẫn đến lỗi không? Các lỗi có khác nhau không? Mất nhiều thời gian hơn hay ngắn hơn để xử lý? Tất cả những điều này có thể dẫn đến một cuộc tấn công nhà tiên tri đệm tiềm năng."