พบ Citrix NetScaler เกือบ 2,000 แห่งถูกวาง Backdoor จากช่องโหว่ใหม่ที่พบก่อนหน้านี้

พบ Citrix NetScaler เกือบ 2,000 แห่งถูกวาง Backdoor จากช่องโหว่ Remote Code Execution ใหม่ที่พบก่อนหน้านี้

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Fox-IT และ Dutch Insitute of Vulnerability Disclosure (DIVD) ได้ออกมาประกาศการตรวจพบแคมเปญการโจมตีครั้งใหญ่ ซึ่งผู้โจมตีทำการวาง Web shell Backdoor บน Citrix NetScaler Server ผ่านทางช่องโหว่ CVE-2023-3519 ที่พบก่อนหน้านี้ ถึงแม้ว่าช่องโหว่นี้จะได้รับการแพตช์มาแล้วตั้งแต่วันที่ 18 กรกฎาคมที่ผ่านมา แต่แฮ็กเกอร์นั้นอาศัยการโจมตีตั้งแต่ช่วงที่ยังเป็น Zero-day อยู่ ทำให้สามารถรันคำสั่งเพื่อติดตั้ง Web shell โดยที่ไม่จำเป็นต้องยืนยันตัวตนได้

ผลการแสกนของ Fox-IT และ DIVD พบว่ามี NetScaler Server กว่า 1,952 แห่งทั่วโลกถูกวาง Backdoor เอาไว้ ซึ่งเป็นการโจมตีแบบ Automated และวาง Web shell ตัวเดียวกันทั้งหมด ซึ่งคิดเป็น 6% ของ Citrix NetScaler server ที่ยังไม่ได้แพตช์ซึ่งมีอยู่ประมาณ 31,127 แห่งทั่วโลก นอกจากนี้ยังพบว่าเครื่องที่ได้รับการแพตช์แล้วกว่า 1,247 แห่งนั้นถูกวาง Web shell เอาไว้ก่อนแล้วอีกด้วย โดยเมื่อวันที่ 10 สิงหาคมที่ผ่านมา Fox-IT และ DIVD ได้ออกแจ้งเตือนไปยังบริษัทต่างๆที่ถูกโจมตีแล้ว

ผู้ดูแลระบบควรทำการแพตช์ Citrix NetScaler ที่ใช้งานอยู่ทันทีหากได้รับผลกระทบจากช่องโหว่นี้ นอกจากนี้ผู้ดูแลระบบควรทำการตรวจสอบเครื่องที่แพตช์แล้วเช่นกัน เพื่อค้นหา Backdoor ที่อาจถูกฝั่งอยู่ในเครื่อง ซึ่ง Fox-IT ได้ปล่อยเครื่องมือ Python Script ช่วยค้นหา Backdoor ที่อาจซ่อนอยู่ใน Server ออกมาอีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/almost-2-000-citrix-netscaler-servers-backdoored-in-hacking-campaign/