Citrix

Les pirates mènent une campagne à grande échelle pour exploiter la récente faille CVE-2023-3519 dans Citrix NetScaler Gateways afin de voler les informations d’identification des utilisateurs.

La faille est un bogue critique d’exécution de code à distance non authentifié découvert comme un jour zéro en juillet et qui affecte Citrix NetScaler ADC et NetScaler Gateway.

Début août, la faille avait été exploitée pour ouvrir une porte dérobée à au moins 640 serveurs Citrix, et ce chiffre atteignait 2 000 à la mi-août.

X-Force d’IBM rapporte que malgré les multiples avertissements concernant la mise à jour des appareils Citrix, la surface d’attaque reste importante et les pirates ont commencé à exploiter CVE-2023-3519 pour injecter du JavaScript qui récupère les informations de connexion en septembre.

Publicité

Modification de la page de connexion de Netscaler

X-Force a découvert pour la première fois la campagne de vol d’informations d’identification Netscaler en enquêtant sur un cas dans lequel un client avait rencontré des authentifications lentes sur son appareil NetScaler.

Sur la base de leurs enquêtes, les intervenants ont découvert que des pirates informatiques avaient utilisé CVE-2023-3519 pour injecter un script JavaScript malveillant de vol d’informations d’identification dans la page de connexion index.html d’un appareil Citrix NetScaler.

L’attaque commence par une requête Web qui exploite les appareils NetScaler vulnérables pour écrire un simple shell Web PHP sur « /netscaler/ns_gui/vpn ».

Ce shell Web donne aux attaquants un accès direct en temps réel au point de terminaison compromis, qu’ils exploitent pour collecter les données de configuration du fichier « ns.conf ».

Ensuite, les attaquants ajoutent du code HTML personnalisé au fichier « index.html » qui fait référence à un fichier JavaScript distant, qui à son tour récupère et exécute du code JS supplémentaire.

Chaîne d'attaque observée
Chaîne d’attaque observée (IBM)

Ce dernier extrait JS est conçu pour la collecte d’informations d’identification, attachant une fonction personnalisée au bouton « Connexion » sur la page d’authentification VPN.

Finalement, les informations d’identification collectées sont exfiltrées vers les attaquants via une requête HTTP POST.

Voler les identifiants des utilisateurs
Voler les identifiants des utilisateurs (IBM)

Taille de l’attaque

L’acteur malveillant a enregistré plusieurs domaines pour cette campagne, dont jscloud[.]encre, jscloud[.]en direct, jscloud[.]biz, jscdn[.]biz et cloudjs[.]en direct.

X-Force a identifié près de 600 adresses IP uniques pour les appareils NetScaler dont les pages de connexion avaient été modifiées pour faciliter l’opération de vol d’informations d’identification.

La plupart des victimes se trouvent aux États-Unis et en Europe, mais les systèmes compromis se trouvent dans le monde entier.

Carte des victimes
Carte des victimes (IBM)

Concernant la durée de la campagne, le rapport de X-Force mentionne que la première modification de la page de connexion basée sur les horodatages récupérés date du 11 août 2023, la campagne est donc en cours depuis deux mois.

Nouvel artefact de détection

Les analystes d’IBM n’ont pas pu attribuer cette activité à un groupe de menace ou à un cluster connu, mais ont récupéré un nouvel artefact de l’attaque qui pourrait aider les défenseurs à la détecter rapidement.

L’artefact se trouve dans les journaux de pannes de l’application NetScaler associés au moteur de traitement de paquets NetScaler (NSPPE), qui se trouvent dans « /var/core//NSPPE* ».

« X-Forced a observé que les horodatages des fichiers de crash NSPPE étaient alignés sur les horodatages du système de fichiers des shells Web PHP créés lors de l’exploitation », lit le rapport.

« Dans d’autres cas, X-Force a pu récupérer les commandes transmises aux shells Web dans le cadre d’activités post-exploitation. »

Les fichiers de crash sont stockés dans des archives « .gz » qui nécessitent une extraction avant analyse, tandis que le contenu de leurs données de chaîne doit également être converti sous une forme lisible à l’aide de PowerShell ou d’autres outils.

Journal des incidents sous sa forme originale
Journal des incidents sous sa forme originale et illisible (IBM)

Il est conseillé aux administrateurs système de suivre les conseils de correction et de détection. CISA fourni ici.

4.7/5 - (4 votes)
Publicité
Article précédent« Le paysage en constante évolution de la technologie et des gadgets » | par Rubbasmehboob | octobre 2023
Article suivantMinecraft Crazy Sheep : Comment jouer au mini-jeu viral Minecraft sur TikTok
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici