Tehdit aktörleri, kimlik doğrulama web sayfasının HTML’sine kötü amaçlı komut dosyaları enjekte etmek ve kullanıcı kimlik bilgilerini çalmak için CVE-2023-3519 olarak sınıflandırılan güvenlik açığını kullanarak yama yapılmamış NetScaler Ağ Geçitlerine saldırıyorlardı.
CVSS puanı 9,8 olan CVE-2023-3519, NetScaler ADC’yi ve Uzaktan Kod Yürütülmesine izin veren NetScaler Gateway’i etkileyen kritik bir güvenlik açığıdır.
X-Force, ABD ve Avrupa’ya odaklanarak, değiştirilmiş NetScaler Ağ Geçidi oturum açma sayfalarını barındıran 600’den fazla farklı kurban IP adresi belirledi.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Daha Büyük Kimlik Bilgisi Toplama Kampanyası
Raporlar, bir müşterinin NetScaler cihazındaki gecikmiş kimlik doğrulama şikayetlerini araştırdıktan sonra komut dosyasını bulduğunu söylüyor.
Tehdit aktörü, meşru ‘index.html’ dosyasına özel HTML kodu eklemelerine olanak tanıyan ve VPN kimlik doğrulama sayfasının saldırganın sayfasında barındırılan bir JavaScript dosyasını yüklemesine olanak tanıyan bir PHP web kabuğu enjekte etmek için CVE-2023-3519’dan yararlanıyordu.
“index.html” dosyasına eklenen JavaScript kodu, “Log_On” öğesine özel bir işlev ekleyen ve kimlik doğrulama sonrasında kullanıcı adı ve şifre bilgilerini içeren form verilerini toplayan ek JavaScript kodunu alıp çalıştırarak kimlik bilgilerinin toplanmasını kolaylaştırır.
Araştırmacılar, jscloud da dahil olmak üzere tehdit aktörünün oluşturduğu birçok alan keşfetti[.]mürekkep, jscloud[.]canlı, jscloud[.]biz, jscdn[.]biz ve cloudjs[.]canlı.
Komuta ve kontrol (C&C) dışında, bu saldırılarda kullanılan JavaScript dosyaları neredeyse benzerdir. Alınan kimlik bilgileri aynı URL’ye iletildi.
“NetScaler Paket İşleme Motoru (NSPPE) kilitlenme dosyaları, güvenlik açığından yararlanıldığına dair kanıtlar içerebilir. Kilitlenme dosyaları “/var/core/” konumunda bulunur
NSPPE kilitlenme dosyası zaman damgalarının, istismar yoluyla oluşturulan PHP web kabuklarının dosya sistemi zaman damgalarıyla uyumlu olduğu bulundu.
CISA, CVE-2023-3519’un yaygın şekilde kullanılmasına yanıt olarak tespit, olay müdahalesi, hafifletmeler ve güvenlik prosedürlerinin test edilmesi hakkında bilgiler içeren bir tavsiye belgesi yayınladı. Belirtilen önerilere uymanız tavsiye edilir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.