ការវាយប្រហារទៅលើប្រព័ន្ធ Citrix NetScaler systems គឺជាប់ពាក់ព័ន្ធទៅនឹងមេរោគ ransomware

ក្រុមហេគឃ័រដែលគេជឿជាក់ថាពាក់ព័ន្ធទៅនឹងក្រុម FIN8 បានកេងប្រវ័ញ្ចទៅលើភាពរងគ្រោះដែលមានលេខកូដ CVE-2023-3519 សម្រាប់ការវាយប្រហារកូដពីចម្ងាយ remote code execution ដើម្បីគ្រប់គ្រងទៅលើប្រព័ន្ធ Citrix NetScaler systems ដែលមិនទាន់បាន patch ។ ក្រុមហ៊ុន Sophos បានតាមដានទៅលើយុទ្ធនាការនេះចាប់តាំងពីពាក់កណ្តាលខែសីហានេហ ហើយរាយការណ៍ថា ក្រុមហេគឃ័រនេះបានប្រើប្រាស់នូវ BlueVPS សម្រាប់ការចែកចាយមេរោគ malware និងការទម្លាក់នូវ PHP webshells នៅក្នុងម៉ាស៊ីនរបស់ជនរងគ្រោះ។

សម្រាប់លេខកូដ CVE-2023-3519 នេះគឺមានកម្រិតគ្រោះថ្នាក់ CVSS ដែលមានពិន្ទុ 9.8 នៅក្នុង Citrix NetScaler ADC និង NetScaler Gateway ហើយវាគឺជាភាពងាយរងគ្រោះ 0-Day ដែលកើតឡើងចាប់តាំងពីពាក់កណ្តាលខែកក្កដានេះ។ ក្រុមហ៊ុនផ្គត់ផ្គង់ក៏បានបញ្ចេញនូវការអាប់ដេតសវុត្ថិភាពសម្រាប់ដោះស្រាយទៅលើបញ្ហានេះនៅថ្ងៃទី 18 ខែកក្កដានេះ ប៉ុន្តែឧក្រិដ្ឋជនអ៊ីនធឺណិតគឺបានកេងប្រវ័ញ្ចទៅលើចន្លោះប្រហោងនេះចាប់តាំងពីថ្ងៃទី 6 ខែកក្កដាឆ្នាំ 2023 នេះ។

នៅថ្ងៃទី 2 ខែសីហានេះ Shadowserver រាយការណ៍អំពីការរកឃើញនូវ 640 webshells នៅលើ compromised Citrix servers ហើយរយៈពេល 2 សប្តាហ៍ក្រោយមក Fox-IT រាយការណ៍ថាវាកើនឡើងដល់ទៅ 1952 ។ នៅពាក់កណ្តាលខែសីហានេះ 31,000 Citrix NetScaler គឺមានចន្លោះប្រហោងនៃ CVE-2023-3519, ហើយរយៈពេលមួយខែក្រោយមកទើបវាមានការអាប់ដេតសុវត្ថិភាព។ Sophos X-Ops ពេលនេះរាយការណ៍ថា ក្រុមហេគឃ័រដែលគេតាមដានថាជា ‘STAC4663’ បានកេងប្រវ័ញ្ចទៅលើលេខកូដ CVE-2023-3519 ហើយវាត្រូវគេជឿជាក់ថាជាយុទ្ធនាការដូចគ្នាទៅនឹងអ្វីដែល Fox-IT បានរាយការណ៍នៅដើមខែនេះ៕

Leave a Reply

Your email address will not be published. Required fields are marked *