Shadowserver基金会是一个非营利性组织,致力于网络安全和网络威胁情报的收集、分析和分享。该组织成立于2004年,总部位于美国加利福尼亚州圣迭戈市。其主要任务是监控全球范围内的网络活动,检测和跟踪恶意软件、网络攻击和其他网络威胁。
Shadowserver基金会与全球的政府机构、执法机构、安全公司和互联网服务提供商合作,共同合作对抗网络犯罪和保护互联网安全。他们采集和分析来自各种来源的网络数据,并通过共享威胁情报和安全建议,帮助组织和个人提高网络安全意识和防御能力。
作为一个关键的网络安全资源,Shadowserver基金会在发现大规模网络攻击、漏洞利用和恶意软件传播方面起到了重要作用,帮助全球网络社区更好地应对不断演进的网络威胁。
Shadowserver基金会披露:数百台Citrix NetScaler ADC和网关服务器遭恶意入侵,Web shell大规模部署!”
这些攻击利用了CVE-2023-3519,这是一个关键的代码注入漏洞,可能导致未经身份验证的远程代码执行。
CVE-2023-3519是一种代码注入漏洞,影响了Citrix NetScaler ADC和网关服务器。这个漏洞被认为是严重的,因为它可能导致未经身份验证的远程代码执行。黑客可以利用这个漏洞入侵服务器,并部署Web shell等恶意代码,从而获取对系统的控制权。
为了解决这个漏洞,Citrix已经在上个月发布了相应的安全补丁。受影响的组织应该尽快更新受漏洞影响的Citrix NetScaler ADC和网关服务器,以避免遭受攻击和数据泄露的风险。
由于漏洞的危害程度较高,建议组织加强网络安全措施,定期监视系统日志和网络流量,以便及时发现和应对任何可疑活动。此外,组织还应当培训员工,提高他们对网络安全威胁的认识,并教授如何避免成为网络攻击的受害者。
受影响的 IP 地址数量最多的是德国,其次是法国、瑞士、意大利、瑞典、西班牙、日本、中国、奥地利和巴西。
该漏洞在上个月被Citrix修复,其CVSS评分为9.8,意味着该漏洞具有很高的严重程度。影响的IP地址最多的国家是德国,其次是法国、瑞士、意大利、瑞典、西班牙、日本、中国、奥地利和巴西。
黑客利用CVE-2023-3519漏洞部署Web Shell的攻击,此前已被美国网络安全和基础设施安全局(CISA)披露。CISA表示,这次攻击是针对一家未具名的关键基础设施组织在2023年6月遭受的。
除此之外,还提到了CVE-2023-24489漏洞,这是影响Citrix ShareFile软件的另一个严重漏洞,允许未经身份验证的任意文件上传和远程代码执行。该问题已在ShareFile存储区控制器版本5.11.24及更高版本中得到解决。安全公司Assetnote发现并报告了此漏洞,将其追溯到了一个更简单的填充口令攻击。
为了应对这种情况,受影响的组织需要采取以下措施:
修补受影响的系统:确保所有Citrix NetScaler ADC和Gateway服务器都安装了由Citrix提供的最新安全补丁。该漏洞已经得到修补,因此应用更新是降低风险的关键步骤。
扫描威胁指标(IOCs):对系统进行彻底扫描,以确定任何潜在的威胁指标,如Web Shell的存在或可疑活动。
审查访问控制策略:审查并加强受影响服务器的访问控制策略。限制只有授权人员可以访问,并采用最小权限原则。
监控网络流量:监控网络流量,以发现任何异常或可疑的模式。异常检测工具可以帮助识别潜在的恶意活动。
事件响应和取证:请有经验的事件响应团队调查攻击的程度,控制威胁,并进行详细的取证分析,以了解攻击的来源和造成的损害程度。
分享威胁情报:与像Shadowserver Foundation、美国CISA等组织合作,共享威胁情报,共同防御类似攻击。
教育员工:为员工进行安全意识培训,让他们认识到钓鱼攻击等社交工程策略,这些是攻击者可能利用的手段来获取网络访问权限。
关于CVE-2023-24489,这是影响Citrix ShareFile软件的另一个严重漏洞,组织应确保运行ShareFile存储区控制器版本5.11.24或更高版本,以保护免受未经身份验证的任意文件上传和远程代码执行攻击。
随着网络威胁的不断演变,组织需要保持坚实的安全姿态,定期更新和修补系统,并及时了解最新的漏洞和威胁情报,以应对潜在的攻击。
