Hampir 2.000 Instans Citrix NetScaler Diretas melalui Kerentanan Kritis
16 Agustus 2023Ruang BeritaKerentanan / Keamanan Perusahaan
Hampir 2.000 instance Citrix NetScaler telah disusupi dengan pintu belakang dengan memanfaatkan kerentanan keamanan kritis yang baru-baru ini diungkapkan sebagai bagian dari serangan skala besar.
“Seorang musuh tampaknya telah mengeksploitasi CVE-2023-3519 secara otomatis, menempatkan web shell pada NetScaler yang rentan untuk mendapatkan akses terus-menerus,” kata NCC Group dalam sebuah peringatan yang dirilis Selasa.
“Musuh dapat mengeksekusi perintah sewenang-wenang dengan webshell ini, bahkan ketika NetScaler di-patch dan/atau di-boot ulang.”
CVE-2023-3519 mengacu pada kerentanan injeksi kode penting yang berdampak pada server NetScaler ADC dan Gateway yang dapat menyebabkan eksekusi kode jarak jauh yang tidak diautentikasi. Itu ditambal oleh Citrix bulan lalu.
Perkembangan ini terjadi seminggu setelah Shadowserver Foundation mengatakan pihaknya mengidentifikasi hampir 7.000 instance NetScaler ADC dan Gateway yang rentan dan belum dipatch secara online dan kelemahan tersebut disalahgunakan untuk menjatuhkan shell web PHP pada server yang rentan untuk akses jarak jauh.
Analisis lanjutan yang dilakukan NCC Group kini mengungkapkan bahwa 1.828 server NetScaler masih berada dalam sistem backdoor, dan sekitar 1.248 di antaranya telah ditambal untuk mengatasi kelemahan tersebut.
“Hal ini menunjukkan bahwa meskipun sebagian besar administrator menyadari kerentanan tersebut dan telah menambal NetScaler mereka ke versi yang tidak rentan, mereka belum diperiksa (dengan benar) untuk melihat tanda-tanda eksploitasi yang berhasil,” kata perusahaan tersebut.
Secara total, sebanyak 2.491 web shell telah ditemukan di 1.952 peralatan NetScaler yang berbeda. Mayoritas kasus yang disusupi berlokasi di Jerman, Prancis, Swiss, Jepang, Italia, Spanyol, Belanda, Irlandia, Swedia, dan Austria.
Selain fokus di Eropa, aspek penting lainnya adalah meskipun Kanada, Rusia, dan AS memiliki ribuan server NetScaler yang rentan pada akhir bulan lalu, tidak ada web shell yang ditemukan di salah satu server tersebut.
Kampanye eksploitasi massal diperkirakan telah membahayakan 6,3% dari 31.127 instance NetScaler yang rentan terhadap CVE-2023-3519 pada 21 Juli 2023.
Pengungkapan ini juga terjadi ketika Mandiant telah merilis alat sumber terbuka untuk membantu organisasi memindai peralatan Citrix mereka untuk mencari bukti aktivitas pasca eksploitasi terkait CVE-2023-3519.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
