Mediant, ora parte di Google Cloud, ha rilasciato uno scanner per verificare la compromissione di Citrix ADC (NetScaler) a seguito della vulnerabilità CVE-2023-3519 uscita qualche settimana fa.
Alcune statistiche suggeriscono che dopo il rilascio dei PoC su github, più di 2000 apparati pubblicati su internet siano stati attaccati con successo! Come già accaduto nel dicembre 2019, Mediant ha rilasciato uno scanner che effettua diversi controlli per cercare di capire se un apparato è stato attaccato con successo.
Lo scanner effettua una serie di controlli:
- strane voci nella cron history
- percorsi noti utilizzati da file malware
- processi inattesi
- unexpected processes
- voci inattese nel crontab
- contenuti inattesi nelle cartelle NetScaler
alla ricerca di elementi che possano suggerire la compromissione.
Nonostante i diversi aggiornamenti, lo scanner non ha la pretesa di essere perfetto e può segnalare alcuni falsi positivi, ma l’obiettivo è quello di stimolare ad una più profonda analisi nel caso identifichi qualche elemento anomalo.
E’ sufficiente scaricare lo script e lanciarlo nella shell del Citrix ADC (NetScaler) e attendere il risultato.
Per ulteriori informazioni: