威胁行为者利用被跟踪为 CVE-2023-3519 的关键严重性远程代码执行，在一场大规模活动中入侵了近 2,000,000 台 Citrix NetScaler 服务器。

研究人员表示，在管理员安装该漏洞补丁之前，已有 1,200 多台服务器被植入后门，并且由于没有检查是否有成功利用的迹象，因此它们继续受到损害。

RCE 被利用攻击了 6% 的易受攻击的服务器

网络安全公司 Fox-IT（NCC 集团旗下）和荷兰漏洞披露研究所 (DIVD) 的安全研究人员发现了一项大规模活动，该活动在易受 CVE-2023-3519 影响的 Citrix Netscaler 服务器上植入了 Webshel​​l。

尽管该漏洞于 7 月 18 日收到了补丁，但黑客开始 在野外利用它作为零日漏洞， 在未经身份验证的情况下执行代码。

7 月 21 日，网络安全和基础设施安全局 (CISA) 警告称，该漏洞已被利用 破坏了 美国的一个关键基础设施组织

本月早些时候，非营利组织 Shadowserver Foundation 发现黑客已 感染了 640 多台 Citrix NetScaler 服务器 ，并植入了用于远程访问和持久性的 Web shell。

在过去的两个月里，Fox-IT 响应了多起与 CVE-2023-3519 漏洞利用相关的事件，并发现服务器受到多个 Web shell 的攻击。

利用有关后门的详细信息，Fox-IT 和 DIVD 能够扫描互联网以查找安装了 Web shell 的设备。管理员可以通过检查用户代理的 Citrix HTTP 访问日志来识别其扫描：DIVD-2023-00033。

最初，扫描仅考虑易受攻击的系统，但后来扩展到收到更新以解决 CVE-2023-3519 问题的 Citrix 实例。

这表明 1,952 台 NetScaler 服务器带有 Fox-IT 在事件响应期间发现的相同 Web shell 后门，表明攻击者使用自动化方法大规模利用该漏洞。

在更大范围内，当该活动活跃时，全球范围内易受 CVE-2023-3519 影响的 31,127 个 Citrix NetScaler 实例中，有 1,952 个后门服务器占 6% 以上。

Fox-IT 表示，在已发现的受感染服务器中，截至 8 月 14 日，仍有 1,828 台服务器存在后门，其中 1,247 台服务器在黑客植入 Web shell 后已得到修补。

8 月 10 日，Fox-IT 和 DIVD 开始直接或通过国家 CERT 与组织联系，了解其网络上受感染的 NetScaler 实例。

昨天，受感染的 Citrix NetScaler 服务器（无论是已打补丁还是未打补丁）的数量最多的是德国，其次是法国和瑞士。

Fox-IT 表示，欧洲受影响最严重，并强调在受影响最大的 10 个国家中，只有两个国家来自世界不同地区。

研究人员观察到的另一个细节是，虽然加拿大、俄罗斯和美国在 7 月 21 日拥有数千台易受攻击的 NetScaler 服务器，但他们几乎没有在其中发现任何受攻击的 Web shell。

Fox-IT 表示，受影响的 Citrix NetScaler 服务器数量正在下降，但仍有大量受感染实例。

研究人员警告说，打过补丁的 NetScaler 服务器仍然可能存在后门，并建议管理员对其系统进行基本分类。

他们提供了一个  使用 Dissect取证和事件响应工具包的Python 脚本 。

Mandiant 还发布了一款 扫描器 ，可查找与利用 CVE-2023-3519 的攻击相关的妥协指标。不过，研究人员警告说，运行此 bash 脚本两次会导致误报，因为“每当运行该脚本时，某些搜索就会写入 NetScaler 日志中”。