พบฝูงแฮ็กเกอร์กำลังรุมเจาะช่องโหว่ที่เพิ่งพบอย่าง CVE-2023-3519 บน Citrix NetScaler Gateways เพื่อจารกรรมข้อมูลรหัสผู้ใช้ ช่องโหว่นี้เป็นแบบเปิดช่องให้รันโค้ดจากระยะไกล (RCE) ที่พบเป็น Zero-day ในช่วงกรกฎาคมที่ผ่านมา
เป็นช่องโหว่ที่อยู่บนอุปกรณ์ทั้ง Citrix NetScaler ADC และ NetScaler Gateway และต่อมาเมื่อต้นเดือนสิงหาคม ก็พบการใช้ช่องโหว่นี้สร้างประตูหลัง (Backdoor) บนเซิร์ฟเวอร์ Citrix ถึง 640 ตัว และพุ่งแตะ 2,000 ตัวอย่างรวดเร็วแค่ช่วงกลางเดือนสิงหาคมที่ผ่านมา
ทาง X-Force ของ IBM รายงานว่า แม้จะมีการแจ้งเตือนให้อัพเดทอุปกรณ์ Citrix ที่ผ่านมาหลายต่อหลายครั้ง แต่ปริมาณเครื่องที่มีช่องโหว่หรือ Attack Surface ก็ยังคงที่เหมือนเดิม จนแฮ็กเกอร์หันมาเจาะด้วยคำสั่งจาวาสคริปต์อีกครั้งในเดือนกันยายนเพื่อถลุงจ้อมูลรหัสผ่าน
X-Force พบแคมเปญขโมยรหัสดังกล่าวระหว่างการสืบสวนกรณีที่ผู้ใช้พบการยืนยันตนช้ากว่าปกติบนอุปกรณ์ NetScaler จนพบการใช้สคริปต์อันตรายเจาะเข้าผ่านหน้าเว็บล็อกอิน index.html เพียงแค่เขียนเว็บเชลล์ PHP ง่ายๆ บน “/netscaler/ns_gui/vpn”
อ่านเพิ่มเติมที่นี่ – BPC
