Une campagne de collecte d’informations d’identification cible les passerelles Citrix NetScaler qui n’ont pas été corrigées contre une vulnérabilité récente, rapporte IBM.
Suivie sous le numéro CVE-2023-3519 (score CVSS de 9,8), la vulnérabilité a été révélée en juillet, mais était exploitée depuis juin 2023, certaines des attaques ciblant les organisations d’infrastructures critiques.
À la mi-août, les auteurs de la menace ont exploité cette vulnérabilité dans le cadre d’une campagne automatisée, détournant environ 2 000 instances NetScaler. Selon la Shadowserver Foundation, au moins 1 350 instances NetScaler compromises lors d’attaques précédentes apparaissaient dans les scans la semaine dernière.
En septembre, IBM a observé une nouvelle campagne malveillante ciblant les appareils NetScaler non corrigés pour injecter un script sur la page d’authentification et voler les informations d’identification des utilisateurs.
Dans le cadre des attaques observées, un acteur malveillant exploite CVE-2023-3519 pour injecter un shell Web PHP, qui lui permet ensuite d’ajouter du code HTML personnalisé au fichier légitime « index.html », afin de charger un fichier JavaScript hébergé sur l’infrastructure de l’attaquant sur la page d’authentification VPN.
Le JavaScript récupère et exécute du code supplémentaire pour attacher une fonction personnalisée à l’élément ‘Log_On’, destinée à collecter le nom d’utilisateur et le mot de passe fournis par l’utilisateur et à les envoyer à un serveur distant.
Dans le cadre de cette campagne, l’acteur malveillant a créé de nombreux domaines et les a enregistrés en août, abusant de Cloudflare pour cacher son emplacement d’hébergement.
IBM affirme avoir identifié « au moins 600 adresses IP uniques de victimes hébergeant des pages de connexion NetScaler Gateway modifiées », la plupart situées aux États-Unis et en Europe. Selon Les analyses du serveur Shadowau moins 285 instances NetScaler ont été compromises dans cette campagne.
Les premières infections ont probablement eu lieu le 11 août, même si la campagne « aurait pu commencer plus près du moment où les domaines ont été enregistrés », le 4 août, selon IBM.
Les fichiers JavaScript observés dans ces attaques sont presque identiques, la commande et le contrôle (C&C) étant la seule différence entre eux. Les informations d’identification collectées ont été envoyées à la même URL.
IBM a récupéré certains shells Web et versions modifiées du fichier « index.html » et fournit des informations sur les indicateurs de compromission (IoC) que les organisations devraient rechercher lorsqu’elles recherchent un ciblage potentiel de leurs instances NetScaler.
Selon IBM, les organisations devraient non seulement envisager de mettre à jour leurs passerelles NetScaler, mais également de modifier tous leurs certificats et mots de passe dans le cadre de leurs efforts de remédiation.
