Chiara Nardini : 17 Agosto 2023 09:11
Durante una campagna su larga scala, gli hacker criminali hanno compromesso circa 2.000 server Citrix NetScaler utilizzando la vulnerabilità RCE critica CVE-2023-3519 (9,8 punti sulla scala CVSS). I paesi europei hanno sofferto maggiormente di questi attacchi.
Gli esperti della società di sicurezza Fox-IT dell’Istituto olandese per il rilevamento delle vulnerabilità (DIVD) hanno scoperto un’altra campagna dannosa su larga scala per installare web shell sui server Citrix Netscaler vulnerabili al problema CVE-2023-3519, che è stato scoperto e risolto a luglio 2023.
Poco dopo la scoperta di questo bug, la US Cybersecurity and Infrastructure Protection Agency (CISA) ha riferito che i criminali hanno sfruttato il bug per distribuire web shell. Poco dopo, la Shadowserver Foundation ha stimato che, utilizzando CVE-2023-3519, gli aggressori hanno distribuito web shell su almeno 640 server Citrix vulnerabili.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Come riportato ora da Fox-IT, negli ultimi mesi la società ha riscontrato ripetutamente incidenti relativi allo sfruttamento di CVE-2023-3519 e ha trovato server compromessi da diverse web shell contemporaneamente.
Utilizzando le informazioni su queste backdoor, Fox-IT e DIVD hanno scansionato Internet alla ricerca di dispositivi che eseguono queste web shell. Si noti che gli amministratori possono riconoscere tali scansioni controllando i log di accesso HTTP per user-agent DIVD-2023-00033.
Inizialmente, durante la scansione sono stati presi in considerazione solo i sistemi vulnerabili, ma successivamente i ricercatori hanno verificato anche quei sistemi che hanno ricevuto una patch per eliminare CVE-2023-3519. Alla fine, sono stati scoperti 1.952 server NetScaler con le stesse web shell che Fox-IT aveva identificato durante la risposta agli incidenti.
Il rapporto rileva che al 14 agosto 2023 erano ancora presenti backdoor su 1.828 server. Allo stesso tempo,1247 hanno ricevuto la patch ma ciò è avvenuto dopo che gli hacker hanno introdotto le web shell.
Fox-IT e DIVD stanno già contattando le organizzazioni direttamente o tramite i CERT nazionali per informarle della compromissione dei server NetScaler sulle loro reti. Il maggior numero di server Citrix NetScaler compromessi (sia con patch che senza patch) è stato trovato in Germania, Francia e Svizzera.
I paesi dell’Europa nel loro insieme hanno sofferto di questi attacchi più di altri: tra i primi 10 paesi attaccati ci sono solo due paesi di altre regioni del mondo. Allo stesso tempo, nonostante siano stati individuati migliaia di server NetScaler vulnerabili in Canada, Russia e Stati Uniti, su nessuno di essi sono state trovate shell Web dannose.
Fox-IT conclude che il numero di server Citrix NetScaler vulnerabili sta diminuendo, ma è troppo presto per parlare del “tramonto” di questa vulnerabilità. Inoltre, come si è scoperto, anche un server NetScaler con patch può contenere ancora la backdoor, quindi si consiglia agli amministratori di controllare i propri sistemi. Per fare ciò, gli esperti hanno pubblicato uno speciale script Python scaricabile su GitHub.
Inoltre, il loro scanner, che cerca indicatori di compromissione associati agli attacchi a CVE-2023-3519, è stato recentemente rilasciato dagli specialisti di Mandiant.
Chiara NardiniIl ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
Un’importante interruzione dei servizi cloud di Amazon Web Services (AWS) ha causato problemi di connessione diffusi in tutto il mondo, coinvolgendo piattaforme di grande rilievo come Snapchat, Fort...
L’azienda cinese “Unitree Robotics” ha sfidato il primato della robotica statunitense con il lancio del suo umanoide H2 “Destiny Awakening”. L’umanoide unisce la forma umana a movimenti so...
Il 20 ottobre 2025 segna un anniversario importante per la storia dell’informatica: il processore Intel 80386, noto anche come i386, celebra il suo 40° compleanno. Ed è un compleanno importante! L...
