По даннымShadowserver Foundation, сотни серверов Citrix NetScaler ADC и Gateway были взломаны злоумышленниками для развертывания веб-оболочек.
Некоммерческая организация заявила, что в ходе атак эксплуатируется критическая уязвимость внедрения кода CVE-2023-3519 (CVSS 9.8) , которая приводит к удаленному выполнению кода (Remote Code Execution, RCE) без проверки подлинности. О недостатке стало известно ещё в июле, когда компания Citrix сообщила об ошибке корпоративным пользователям NetScaler ADC и NetScaler Gateway.
Наибольшее количество затронутых IP-адресов находится в Германии, Франции, Швейцарии, Италии, Швеции, Испании, Японии, Китае, Австрии и Бразилии.
Компания Assetnote, которая обнаружила и сообщила об ошибке, проследилаее до более простой версии атаки оракула заполнения (Padding Oracle), которая позволяет раскрыть ключи шифрования.
Citrix не раскрыла дополнительных подробностей о данной уязвимости. Однако сейчас достоверно известно, что для успешной эксплуатации CVE-2023-3519 требуется, чтобы устройство было настроено как шлюз (виртуальный сервер ” data-html=”true” data-original-title=”VPN” >VPN, ICA-прокси, CVPN, RDP-прокси) или виртуальный сервер авторизации и учёта (
AAA-системы обеспечивают безопасность, конфиденциальность и целостность данных, позволяют эффективно управлять доступом пользователей и устройств, а также предоставляют механизмы учета и аудита для обеспечения соответствия политикам безопасности и нормам компании.