Security Affairs 网站披露，黑客IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的正利CVE-2023-3519 漏洞（CVSS评分 ：9.8），开展大规模的用C用户凭证收集活动。

2023 年 7 月底，网关Citrix 警告客户 NetScaler 应用交付控制器（ADC）和网关中存在的漏洞 CVE-2023-3519 漏洞正在被恶意利用 。据悉，收集该漏洞是凭证一个代码注入漏洞，可导致未经验证的模板下载黑客远程代码执行 。

美国网络安全和基础设施安全局（CISA）也曾针对 CVE-2023-3519 发出过警示。正利CISA 透露威胁攻击者正在利用该漏洞在易受攻击的用C用户系统上投放 Web 外壳 ，其目标可能是网关部署在关键基础设施组织网络中的 NetScaler ADC 设备。

一个月后，漏洞非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。收集

威胁攻击者正在“积极”利用漏洞

X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动 。凭证客户端报告称在 NetScaler 安装时身份验证缓慢，源码下载黑客攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。

此后，X-Force 在发布的报告中表示附加到合法 "index.html "文件的脚本会加载一个额外远程 JavaScript 文件，该文件会将一个函数附加到 VPN 身份验证页面中的 "登录 "元素
，该函数则会收集用户名和密码信息 
，并在身份验证期间将其发送到远程服务器。

值得一提的是服务器租用，攻击链从威胁攻击者向"/gwtest/formssso? event=start&target="发送网络请求时便已经开始了
，触发 CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 写入一个简单的 PHP web shell  ，一旦受害目标设备部署了 PHP web shell，攻击者就会检索设备上 "ns.conf "文件的内容 。

然后 ，攻击者在 "index.html "中添加自定义 HTML 代码 ，该代码引用了托管在攻击者控制的亿华云基础架构上的远程 JavaScript 文件 。

附加到 "index.html "的 JavaScript 代码检索并执行后，会将一个自定义函数附加到身份验证页面上的 "Log_On "按钮 ，恶意代码随及就能够收集身份验证表单中的数据（包括凭据），并通过 HTTP POST 方法将其发送到远程主机。

X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名 ，这些域名分别于 8 月 5 日、建站模板6 日和 14 日注册 ，并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后 ，确定了近 600 个唯一的受害者 IP 地址
，这些地址托管着修改过的 NetScaler Gateway 登录页面
。

分析显示，大多数受害者分布在美国和欧洲地区，高防服务器虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来
，但已经提取到了入侵指标（IoCs）。