Nel settembre del 2023, X-Force ha scoperto una campagna in cui gli aggressori sfruttavano la vulnerabilità identificata come CVE-2023-3519 per attaccare i NetScaler Gateways non aggiornati. L’obiettivo era inserire uno script malevolo nella pagina web di autenticazione per catturare le credenziali degli utenti. Questa campagna sottolinea l’interesse crescente dei criminali informatici nelle credenziali. Infatti, il rapporto sulle minacce cloud 2023 di X-Force ha rilevato che il 67% degli interventi di risposta agli incidenti legati al cloud era associato all’uso di credenziali rubate.
Panoramica dell’incidente
X-Force ha identificato la campagna attraverso un intervento di risposta a un incidente in cui un cliente aveva scoperto lo script dopo aver indagato su segnalazioni di autenticazioni lente sul dispositivo NetScaler. Lo script, aggiunto al legittimo file “index.html”, carica un ulteriore file JavaScript remoto che si attacca all’elemento “Log On” nella pagina di autenticazione VPN. Questo raccoglie le informazioni di username e password e le invia a un server remoto durante l’autenticazione.
Nella fase iniziale dell’attacco, gli aggressori hanno inviato una richiesta web a “/gwtest/formssso?event=start&target=”, innescando la corruzione della memoria documentata in CVE-2023-3519. Questo ha permesso di scrivere una semplice shell web PHP in /netscaler/ns_gui/vpn. Una volta stabilito l’accesso interattivo attraverso la shell web PHP, l’attaccante ha recuperato il contenuto del file “ns.conf” sul dispositivo e ha aggiunto codice HTML personalizzato a “index.html” che fa riferimento a un file JavaScript remoto ospitato su un’infrastruttura controllata dall’attaccante.
Dettagli della campagna e delle sue implicazioni
Dopo l’identificazione iniziale, X-Force ha identificato diversi domini creati dal cybercriminale, tra cui jscloud[.]ink, jscloud[.]live e altri. Questi domini sono stati registrati tra il 5 e il 14 agosto e utilizzano Cloudflare per mascherare dove sono ospitati. Dopo aver identificato il C2 dell’attaccante, X-Force ha potuto identificare quasi 600 indirizzi IP unici vittime con pagine di accesso NetScaler Gateway modificate, principalmente negli Stati Uniti e in Europa.
Guida alla rilevazione e all’indagine di CVE-2023-3519
In risposta alla diffusa sfruttamento di CVE-2023-3519, CISA ha rilasciato un documento consultivo contenente indicazioni su rilevazione, risposta agli incidenti, mitigazioni e validazione dei controlli di sicurezza. Tuttavia, attraverso molteplici indagini di risposta agli incidenti, X-Force ha scoperto un nuovo artefatto di sfruttamento legato a CVE2-2023-3519 e ha sviluppato ulteriori indicazioni da utilizzare insieme alle raccomandazioni di rilevazione e risposta di CISA.