Se están produciendo ataques dirigidos a sistemas no parcheados de Citrix NetScaler a través de la web, y existe la sospecha de que estos ataques puedan estar relacionados con intentos de ransomware. La empresa de seguridad cibernética Sophos está rastreando un grupo conocido como STAC4663 involucrado en estas actividades.
Estos ataques están explotando la vulnerabilidad crítica CVE-2023-3519 presente en servidores NetScaler ADC y Gateway, lo cual permite la ejecución remota de código sin autenticación. En un incidente detectado en agosto de 2023, esta vulnerabilidad se utilizó para insertar cargas maliciosas en archivos legítimos, como wuauclt.exe y wmiprvse.exe.
Los atacantes están empleando scripts encriptados de PowerShell y shells web en su enfoque. Adicionalmente, están utilizando un servicio llamado BlueVPS para la preparación de malware. Estos métodos se asemejan a una campaña previa en la que se comprometieron alrededor de 2,000 sistemas Citrix NetScaler.
Según Sophos, la forma en que se están llevando a cabo estos ataques sugiere que podrían ser obra de un actor de amenazas experimentado y especializado en ataques de ransomware.
Productos Afectados:
La vulnerabilidad CVE-2023-3519 podría ser explotada en las versiones siguientes:
- NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.13
- NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-91.13
- NetScaler ADC 13.1-FIPS anterior a 13.1-37.159
- NetScaler ADC 12.1-FIPS anterior a 12.1-55.297
- NetScaler ADC 12.1-NDcPP anterior a 12.1-55.297
Recomendaciones:
La compañía insta a los usuarios de dispositivos Citrix NetScaler ADC y Gateway a aplicar los parches pertinentes para reducir posibles riesgos.
Referencias: