Hacker nutzen den kürzlich entdeckten Fehler CVE-2023-3519 in Citrix NetScaler Gateways, um Benutzerdaten massenhaft abzugreifen. Dieser kritische Sicherheitsfehler ermöglichte es Angreifern, ohne vorherige Authentifizierung Code auszuführen.

Bereits im Juli wurde diese Schwachstelle erstmals identifiziert, und sie beeinflusst insbesondere Citrix NetScaler ADC und NetScaler Gateway. Schon im frühen August wurden durch diesen Fehler mindestens 640 Citrix-Server kompromittiert, und die Zahl stieg bis Mitte des Monats auf 2.000.

IBM’s X-Force stellte fest, dass trotz wiederholter Warnungen, die Citrix-Geräte zu aktualisieren, der Angriffsvektor bestehen bleibt. Im September starteten Hacker eine großangelegte Attacke, um Anmeldeinformationen zu ernten.

Das X-Force-Team entdeckte die Kampagne und fand heraus, dass die Angreifer einen schadhaften JavaScript-Code in die Anmeldeseite von Citrix NetScaler-Geräten einschleusten. Dieser Code sammelt die Login-Daten der Benutzer.

Die Hacker greifen gezielt anfällige NetScaler-Geräte an und verschaffen sich über ein PHP-Web-Shell Zugriff auf den kompromittierten Endpunkt. Sie sammeln Konfigurationsdaten und fügen einen HTML-Code in die „index.html“-Datei ein. Dieser Code ruft ein weiteres JavaScript auf, welches zusätzlichen Code ausführt und sich schließlich Anmeldeinformationen schnappt.

Die X-Force konnte fast 600 einzigartige IP-Adressen von NetScaler-Geräten identifizieren, die modifiziert wurden, um Anmeldeinformationen zu stehlen. Die meisten Opfer befinden sich in den USA und Europa, doch es wurden weltweit Systeme kompromittiert.

Laut dem X-Force-Bericht begann diese Angriffskampagne am 11. August 2023 und läuft seitdem, also bereits seit zwei Monaten.

IBM konnte die Aktivitäten bisher keiner bekannten Bedrohungsgruppe zuordnen. Sie fanden jedoch ein neues Angriffsmerkmal, das bei der frühen Erkennung helfen könnte. Dieses Merkmal befindet sich in den Absturzprotokollen der NetScaler-Anwendung.

Systemadministratoren werden dringend geraten, den von der CISA bereitgestellten Leitfaden zur Fehlerbehebung und Erkennung zu befolgen.