Hackernews 编译，转载请注明出处：

近日，2000余个思杰(Citrix) NetScaler实例被一个后门所破坏。该后门将最近披露的一个武器化后的关键安全漏洞，作为黑客大规模攻击的一部分。
NCC集团在周二发布的一份报告中表示:“攻击者似乎以自动的方式利用了CVE-2023-3519漏洞，在易受攻击的NetScaler上放置了web shell，以获得持久访问权限。”
“攻击者可以用这个webshell执行任意命令，即使NetScaler打了补丁和/或重新启动也无济于事。”

CVE-2023-3519是指影响NetScaler ADC和网关服务器的关键代码注入漏洞，可能导致未经身份验证的远程代码执行。思杰(Citrix)公司于上个月打了补丁。

一周前，Shadowserver基金会表示，他们发现了近7000个易受攻击、未打补丁的NetScaler ADC和网关实例。“该漏洞正在被滥用，在易受攻击的服务器上投放PHP web shell以进行远程访问。”

NCC集团的后续分析显示，1,828台NetScaler服务器仍然存在后门，其中大约1,248台已经针对该漏洞打了补丁。

该公司表示:“这表明，虽然大多数管理员都意识到了这个漏洞，并且已经将他们的NetScaler打了补丁，安装为不受攻击的版本，但他们并没有(适当地)检查安装是否成功。”

总的来说，该公司在1952个不同的NetScaler设备中发现了多达2,491个web shell。大多数被泄露的实例位于德国、法国、瑞士、日本、意大利、西班牙、荷兰、爱尔兰、瑞典和奥地利。

除了欧洲之外，另一个值得注意的方面是，虽然加拿大、俄罗斯和美国上个月底有数千个易受攻击的NetScaler服务器，但没有在其中任何一个服务器上发现web shell。

截至2023年7月21日，在31,127个易受CVE-2023-3519影响的NetScaler实例中，有6.3%受到了大规模攻击。

Mandiant还发布了一个开源工具，帮助组织扫描他们的思杰设备，寻找与CVE-2023-3519相关的开发后活动的证据。

---

消息来源：thehackernews，译者：Linn；  

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc ” 并附上原文