Новости Без СМС и авторизации: как дефект в ПО Citrix помогает хакерам красть учетные данные

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Пока компании отказываются обновлять систему, кибератаки набирают обороты.


jfp3x83x4i2gw4zfnkbyf3hu50zzkab7.jpg


Хакеры активно эксплуатируют недавно обнаруженную уязвимость в программном обеспечении Citrix для кражи учетных данных пользователей. Речь идет об уязвимости Для просмотра ссылки Войди или Зарегистрируйся , найденной в июле этого года. Она затрагивает такие продукты Citrix, как NetScaler ADC , NetScaler Gateway и позволяет запускать вредоносный код на устройствах без авторизации.

По данным компании IBM X-Force, несмотря на предупреждения от разработчиков и просьбы обновить систему, многие организации до сих пор остаются уязвимыми. Только в августе хакеры использовали этот дефект для взлома более 2000 серверов Citrix.

Специалисты Для просмотра ссылки Войди или Зарегистрируйся , что сначала злоумышленники загружают веб-шелл на PHP в каталог "/netscaler/ns_gui/vpn", через который получают удаленный доступ и собирают сведения о конфигурации системы. Затем вредоносный JavaScript-код внедряется в страницу аутентификации VPN . Этот код перехватывает учетные данные и отправляет на управляющий сервер через HTTP POST запрос.

Хакеры используют несколько доменов для своих целей, в том числе jscloud[.]ink, jscloud[.]live, jscloud[.]biz, jscdn[.]biz и cloudjs[.]live.

По данным IBM, в атаках задействованы сотни уникальных IP-адресов скомпрометированных устройств Citrix по всему миру. Большинство жертв находятся в США и Европе. Начало кампании относится к 11 августа 2023 года, следовательно, она длится уже около двух месяцев.

Аналитики IBM выяснили, что следы атаки можно обнаружить в журналах сбоев NSPPE (часть логов приложения NetScaler). Они находятся в каталоге "/var/core/NSPPE*" в виде .gz архивов. Чтобы проанализировать эти файлы, их нужно извлечь и преобразовать строковые данные в читаемый текст с помощью специальных инструментов.

Специалисты рекомендуют компаниям в срочном порядке установить обновления безопасности от производителя и усилить мониторинг систем на предмет взлома.
 
Источник новости
www.securitylab.ru

Похожие темы