به تازگی یک آسیبپذیری بحرانی در Citrix Application Delivery Controller (ADC) شناسایی شده است. یک گروه نفوذ با بهرهبرداری از این آسیبپذیری، دربپشتی خود را بر روی سیستم هدف نصب کرده و دیگر بدافزارهای موجود روی سیستم هدف را حذف میکنند. این دربپشتی همچنین از بهرهبرداری از این آسیبپذیری توسط گروههای نفوذ دیگر جلوگیری میکند. آسیبپذیری مورد نظر دارای شناسهی CVE-2019-19781 بوده و محصولات Citrix ADC و Gateway را تحت تاثیر قرار داده است. اسکن سیستمهای آسیبپذیر چند هفته قبل آغاز شده و بهرهبرداری چند روز قبل بهطور عمومی منتشر شده است.
دهها هزار سیستم آسیبپذیر شناسایی شده و این عجیب نیست که با این تعداد بالا، گروههای نفوذ بهرهبرداری از این آسیبپذیری را شروع کنند. همچنین لازم به ذکر است که شرکت Citrix آسیبپذیری را وصله نکرده و فقط راهکار حفاظتی ارائه داده است. در یکی از حملات، مهاجمان بدافزارهای شناختهشده را از روی سیستم هدف پاک کرده و یک بار دادهی دیدهنشده به نام NOTROBIN را بر روی سیستم آپلود میکنند. این بدافزار از بهرهبرداریهای آتی از این آسیبپذیری جلوگیری به عمل میآورد. این بدافزار از نوع دربپشتی است و دسترسیهای ماندگار برای مهاجمان در آینده را فراهم میکند.
برای آلوده کردن سیستم، مهاجمان بری اجرای دستورات شل از آسیبپذیری CVE-2019-19781 بهرهبرداری میکنند. بهرهبرداری با یک درخواست HTTP POST شروع میشود که منجر به پاسخ HTTP 404 میشود. در ادامهی فرآیند آلودهسازی، یک اسکریپت بش یک خطی اجرا شده و بدافزارهای استخراج رمزارز را حذف میکند.
یک فولدر مخفی ایجاد کرده و بار دادهی NOTROBIN را داخل آن دانلود میکند و به سازوکار پایداری بر روی سیستم هدف دست مییابد. این بار داده به زبان GO نوشته شده و بهطور متناوب سیستم را اسکن کرده و برخی از فایلها را حذف میکند تا از بهرهبرداری از این آسیبپذیری توسط مهاجمان دیگر جلوگیری کند. محققان امنیتی دریافتند بار دادهی NOTROBIN با استفاده از کلیدهای منحصربفرد توسعه یافته و کد بر روی پورت ۱۸۶۳۴ پروتکل UDP به درخواستها گوش داده و دادهها را دریافت میکند.
