Cientos de servidores Citrix NetScaler ADC y Gateway han sido comprometidos por actores maliciosos para implementar shells web. Se menciona que los ataques aprovechan CVE-2023-3519, una vulnerabilidad crítica de inyección de código que podría conducir a la ejecución remota de código no autenticado. Esta falla fue mitigada por Citrix el mes pasado, tiene una puntuación CVSS de 9,8.

La mayor cantidad de direcciones IP afectadas se encuentran en Alemania, seguida de Francia, Suiza, Italia, Suecia, España, Japón, China, Austria y Brasil. La explotación de CVE-2023-3519 para implementar web shells fue revelada previamente por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que dijo que el ataque estaba dirigido contra una organización de infraestructura crítica no identificada en junio de 2023. La divulgación se produce cuando GreyNoise dijo que detectó tres direcciones IP que intentaban explotar CVE-2023-24489 (puntaje CVSS: 9.1), otra falla crítica en el software Citrix ShareFile que permite la carga de archivos arbitrarios no autenticados y la ejecución remota de código.

“El modo [Cipher Block Chaining] y el relleno PKCS#7 son los valores predeterminados para el cifrado AES en .NET”, dijo el investigador de seguridad Dylan Pindur. “Observe cómo se comporta cuando se proporciona un relleno no válido frente a uno válido. ¿Resulta en un error? ¿Son diferentes los errores? ¿Se tarda más o menos tiempo en procesarse? Todo esto puede conducir a un posible ataque”.