Security Affairs 网站披露，IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞（CVSS评分：9.8），开展大规模的凭证收集活动。

2023 年 7 月底，Citrix 警告客户 NetScaler 应用交付控制器（ADC）和网关中存在的 CVE-2023-3519 漏洞正在被恶意利用。据悉，该漏洞是一个代码注入漏洞，可导致未经验证的远程代码执行。

美国网络安全和基础设施安全局（CISA）也曾针对 CVE-2023-3519 发出过警示。CISA 透露威胁攻击者正在利用该漏洞在易受攻击的系统上投放 Web 外壳，其目标可能是部署在关键基础设施组织网络中的 NetScaler ADC 设备。

一个月后，非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。

威胁攻击者正在“积极”利用漏洞

X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动。客户端报告称在 NetScaler 安装时身份验证缓慢，攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。

此后，X-Force 在发布的报告中表示附加到合法 "index.html "文件的脚本会加载一个额外远程 JavaScript 文件，该文件会将一个函数附加到 VPN 身份验证页面中的 "登录 "元素，该函数则会收集用户名和密码信息，并在身份验证期间将其发送到远程服务器。

值得一提的是，攻击链从威胁攻击者向"/gwtest/formssso? event=start&target="发送网络请求时便已经开始了，触发 CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 写入一个简单的 PHP web shell，一旦受害目标设备部署了 PHP web shell，攻击者就会检索设备上 "ns.conf "文件的内容。

然后，攻击者在 "index.html "中添加自定义 HTML 代码，该代码引用了托管在攻击者控制的基础架构上的远程 JavaScript 文件。

附加到 "index.html "的 JavaScript 代码检索并执行后，会将一个自定义函数附加到身份验证页面上的 "Log_On "按钮，恶意代码随及就能够收集身份验证表单中的数据（包括凭据），并通过 HTTP POST 方法将其发送到远程主机。

X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名，这些域名分别于 8 月 5 日、6 日和 14 日注册，并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后，确定了近 600 个唯一的受害者 IP 地址，这些地址托管着修改过的 NetScaler Gateway 登录页面。

分析显示，大多数受害者分布在美国和欧洲地区，虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来，但已经提取到了入侵指标（IoCs）。