พบอุปกรณ์ Citrix instance กว่า 28,200 รายการ เสี่ยงต่อการถูกโจมตีจากช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical หมายเลข CVE-2025-7775 ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

(more…)

Citrix ได้แก้ไขช่องโหว่จำนวน 3 รายการบน NetScaler ADC และ NetScaler Gateway ในวันนี้ (26 สิงหาคม 2025) รวมถึงช่องโหว่ระดับ Critical ที่นำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ซึ่งมีหมายเลข CVE-2025-7775 และมีการโจมตีจริงในลักษณะ Zero-Day แล้ว

(more…)

ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเนเธอร์แลนด์ (NCSC-NL) ได้ออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังใช้ประโยชน์จากช่องโหว่ระดับ Critical ที่เพิ่งถูกเปิดเผยไม่นานนี้ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Citrix NetScaler ADC และกำลังถูกใช้เพื่อโจมตีองค์กรต่าง ๆ ในประเทศ (more…)

Citrix Netscaler ได้กลายเป็นเป้าหมายล่าสุดของการโจมตีในรูปแบบ Password Spray ในปีนี้ โดยมุ่งเป้าไปที่อุปกรณ์ edge networking และ cloud platform เพื่อโจมตีเครือข่ายขององค์กร

ในเดือนมีนาคม 2024 ทาง Cisco รายงานว่าพบ Hacker กำลังทำการโจมตีแบบ Password Spray บนอุปกรณ์ VPN ของ Cisco ซึ่งบางครั้งการโจมตีดังกล่าวทำให้เกิด Denial-of-Service ทำให้ Cisco ค้นพบช่องโหว่ DDoS ซึ่งได้ทำการแก้ไขไปแล้วในเดือนตุลาคม 2024

ในเดือนตุลาคม 2024 ทาง Microsoft ได้แจ้งเตือนว่า Quad7 Botnet กำลังมุ่งเป้าโจมตีอุปกรณ์เครือข่าย เช่น TP-Link, Asus, Ruckus, Axentra และ Zyxel เพื่อโจมตีแบบ Password Spray ผ่าน cloud services

รวมถึงหน่วยงานความปลอดภัยทางไซเบอร์ของเยอรมนี (BSI) ได้แจ้งเตือนถึงรายงานจำนวนมากที่ระบุว่าอุปกรณ์ Citrix Netscaler ตกเป็นเป้าหมายของการโจมตีด้วยวิธีการ Password Spray ในลักษณะที่คล้ายกัน เพื่อขโมยข้อมูล login credentials เพื่อเข้าสู่เครือข่าย

ข่าวการโจมตี Citrix Netscaler ดังกล่าวได้รับการรายงานครั้งแรกโดย Born City เมื่อสัปดาห์ที่แล้ว โดยผู้ใช้งานระบุว่าพวกเขาเริ่มประสบกับการโจมตีแบบบ Brute Force Attacks บนอุปกรณ์ Citrix Netscaler ของพวกเขามาตั้งแต่เดือนพฤศจิกายน 2024 และต่อเนื่องถึงเดือนธันวาคม 2024

ผู้ใช้งานบางรายระบุว่า ได้ถูกโจมตีเพื่อเข้าถึงข้อมูล account credentials โดยใช้ชื่อผู้ใช้ทั่วไปหลากหลายประเภทระหว่าง 20,000 ถึง 1 ล้านครั้ง โดยมีรายละเอียดดังนี้:

test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales

รวมไปถึง การโจมตีแบบ Password Spray ได้แก่ ชื่อ, ชื่อ-นามสกุล และที่อยู่อีเมล

Citrix ออกคำแนะนำการป้องกัน

Citrix ได้ออกเอกสารแจ้งเตือนด้านความปลอดภัยเกี่ยวกับการโจมตีด้วยวิธีการ Password Spray ที่กำลังเพิ่มมากขึ้นในอุปกรณ์ Netscaler และได้ให้แนวทางแก้ไขเกี่ยวกับวิธีลดผลกระทบจากการโจมตีดังกล่าว

Citrix ระบุว่าการโจมตีด้วยวิธีการ Password Spray นั้นมีต้นทางจาก IP addresses ที่หลากหลาย ทำให้ยากต่อการบล็อก IP หรือการทำ rate limiting รวมถึงการพยายาม authentication จำนวนมากที่เกิดขึ้นอย่างกะทันหันอาจทำให้อุปกรณ์ Citrix Netscaler ที่กำหนดค่าไว้ให้ใช้ normal login volume เกิดการบันทึกข้อมูล log ที่มากขึ้น และทำให้ไม่สามารถใช้อุปกรณ์ได้ หรือมีปัญหาด้านประสิทธิภาพการทำงาน

ทั้งนี้การโจมตีที่ถูกพบ authentication requests จะมุ่งเป้าไปที่ pre-nFactor endpoints ซึ่งเป็น historical authentication URL ที่ใช้เพื่อความเข้ากันได้กับ legacy configurations

Citrix ได้เผยแพร่แนวทางลดผลกระทบจากการโจมตี ได้แก่:

เปิดใช้งาน multi-factor authentication (MFA) ก่อน LDAP factor
เนื่องจากการโจมตีมุ่งเป้าไปที่ IP addresses ทาง Citrix แนะนำให้สร้าง Policy เพื่อให้ authentication requests ถูกยกเลิก ยกเว้นจะพยายาม authentication กับชื่อโดเมนที่ระบุไว้
บล็อก Netscaler endpoints ที่เกี่ยวข้องกับ pre-nFactor authentication requests เว้นแต่จะจำเป็นต้องใช้สำหรับ environment ขององค์กร
ใช้ Web application firewall (WAF) เพื่อบล็อกที่ IP addresses ที่มีความเสี่ยง ที่เกิดจากพฤติกรรมอันตรายก่อนหน้า
Citrix ระบุว่าลูกค้าที่ใช้บริการ Gateway ไม่จำเป็นต้องใช้แนวทางลดผลกระทบเหล่านี้ เนื่องจากแนวทางเหล่านี้ใช้กับอุปกรณ์ NetScaler/NetScaler Gateway ที่ติดตั้งภายใน On premise หรือ On cloud เท่านั้น ซึ่งจะส่งผลกระทบเฉพาะ NetScaler firmware versions ที่สูงกว่า หรือเท่ากับ 13.0 เท่านั้น

สามารถตรวจสอบคำแนะนำโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการใช้แนวทางลดผลกระทบเหล่านี้ได้ใน Citrix advisory

ที่มา : bleepingcomputer

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของ FBI, NSA และ Five Eyes ได้เผยแพร่รายชื่อช่องโหว่ที่ถูกใช้ในการโจมตีอยู่อย่างต่อเนื่อง 15 อันดับแรกตลอดทั้งปีที่ผ่านมา ซึ่งส่วนใหญ่ถูกโจมตีครั้งแรกในลักษณะ zero-day (more…)

Citrix แจ้งลูกค้าให้เร่งแก้ไขช่องโหว่ PuTTY SSH client ด้วยตนเอง เนื่องจากโหว่ดังกล่าวอาจทำให้ Hacker ขโมย private SSH key ของผู้ดูแลระบบ XenCenter ได้ (more…)

Citrix NetScaler ที่ยังไม่ได้รับการอัปเดตแพตซ์ และเข้าถึงได้จากกับอินเทอร์เน็ต กำลังตกเป็นเป้าหมายของผู้โจมตีที่คาดว่าเป็นกลุ่ม ransomware

บริษัทด้านความปลอดภัยทางไซเบอร์ Sophos กำลังติดตามการดำเนินการของกลุ่มผู้โจมตีภายใต้ชื่อ STAC466

โดยกลุ่มผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่ code injection ระดับ Critical ที่ส่งผลกระทบต่อ NetScaler ADC และ Gateway servers ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน

ในการโจมตีครั้งหนึ่งที่ถูกตรวจพบในช่วงกลางเดือนสิงหาคม 2023 พบว่า ช่องโหว่ดังกล่าวได้ถูกใช้ในการดำเนินการโจมตีระดับโดเมนรวมถึงการ injecting payloads ลงในไฟล์ของระบบปฏิบัติการ เช่น Windows Update Agent (wuauclt.

รายงานจาก Shadowserver Foundation พบว่า เซิร์ฟเวอร์ Citrix NetScaler ADC และเกตเวย์จำนวนมากถูกโจมตีโดยผู้ไม่หวังดีเพื่อทำการติดตั้ง web shells
Shadowserver ระบุว่าการโจมตีครั้งนี้ใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่ code injection ระดับ Critical ที่อาจจะนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน
ก่อนหน้านี้ การโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 เพื่อทำการติดตั้ง web shells ได้รับการเปิดเผยโดยหน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ (CISA) ซึ่งพบว่าในเดือนมิถุนายน 2566 มีการโจมตีที่มุ่งเป้าไปที่องค์กรที่เกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญ

โดยปัจจุบันช่องโหว่ดังกล่าวได้รับการแก้ไขจาก Citrix ไปเรียบร้อยแล้วเมื่อช่วงเดือนที่ผ่านมา
IP Address ที่ได้รับผลกระทบจำนวนมากที่สุดอยู่ในเยอรมนี รองลงมาคือฝรั่งเศส สวิตเซอร์แลนด์ อิตาลี สวีเดน สเปน ญี่ปุ่น จีน ออสเตรีย และบราซิล

รายงานดังกล่าวถูกเปิดเผยภายหลังจากที่ GreyNoise เคยระบุว่ามีการตรวจพบ IP Address 3 รายการที่พยายามใช้ประโยชน์จากช่องโหว่ CVE-2023-24489 (คะแนน CVSS: 9.1) ซึ่งเป็นช่องโหว่ระดับ Critical อีกรายการหนึ่งในซอฟต์แวร์ Citrix ShareFile ที่ทำให้สามารถอัปโหลดไฟล์ได้ตามที่ต้องการโดยไม่ต้องผ่านการยืนยันตัวตน และยังสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดยช่องโหว่นี้ได้รับการแก้ไขแล้วใน ShareFile storage zones controller เวอร์ชัน 5.11.24 และใหม่กว่า
โดยล่าสุดเมื่อวันที่ 7 สิงหาคม 2023 Shadowserver Foundation ระบุว่า NetScaler ADC และ Gateway ที่มีช่องโหว่ CVE-2023-3519 เกือบ 7,000 รายการ กำลังถูกโจมตีเพื่อติดตั้ง PHP web shells บนเซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อทำให้ผู้โจมตีสามารถเข้าถึงได้จากระยะไกล

ที่มา : thehackernews.

Citrix Netscaler ADC และ Gateway server หลายพันตัวที่เข้าถึงได้จากอินเทอร์เน็ต มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

นักวิจัยด้านความปลอดภัยจาก Shadowserver Foundation ซึ่งเป็นองค์กรไม่แสวงผลกำไรที่อุทิศตนเพื่อยกระดับความปลอดภัยทางอินเทอร์เน็ต เปิดเผยการค้นพบว่ามีอุปกรณ์ Citrix Netscaler ADC และ Gateway server อย่างน้อย 15,000 เครื่องที่ถูกระบุว่าอาจจะกำลังมีความเสี่ยงต่อการถูกโจมตีโดยใช้ช่องโหว่ CVE-2023-3519 จากข้อมูลเวอร์ชันของระบบ (more…)

Citrix ออกมาเตือนผู้ใช้งานให้รีบอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่บน Citrix Application Delivery Management (ADM) ที่อาจส่งผลให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านของ Admin ได้

Citrix ADM เป็น web-base solution ที่ทำให้ผู้ดูแลระบบสามารถบริหารจัดการระบบของ Citrix ทั้งฝั่ง On-premises และบนคลาวด์ ไม่ว่าจะเป็น Citrix Application Delivery Controller (ADC), Citrix Gateway, หรือ Citrix Secure Web Gateway

Florian Hauser จาก Code White เป็นผู้รายงานช่องโหว่ดังกล่าว ซึ่งมีหมายเลข CVE-2022-27511 Improper Access Control weakness โดยช่องโหว่ดังกล่าวจะมีผลกระทบกับทั้ง Citrix ADM server และ Citrix ADM agent เช่น Citrix ADM เวอร์ชันที่เก่ากว่า 13.0-85.19 และ Citrix ADM เวอร์ชันที่เก่ากว่า 13.1-21.53 โดยหากผู้โจมตีสามารถโจมตีได้สำเร็จจะสามารถสั่งรีเซ็ตรหัสผ่านของผู้ดูแลระบบได้

โดย Citrix ระบุว่า "ผลกระทบที่เกิดขึ้นหลังจากการสั่งรีเซ็ตรหัสผ่านของผู้ดูแลระบบคือ เมื่ออุปกรณ์ถูกรีบูทขึ้นมาใหม่ ผู้โจมตีสามารถเข้าถึงอุปกรณ์ผ่านทาง SSH โดยใช้ค่ารหัสผ่านเริ่มต้นของบัญชีผู้ดูแลระบบได้"

โดยผู้ใช้งานที่ใช้ Citrix ADM เวอร์ชัน cloud จะได้รับการแก้ไขโดยอัตโนมัติ แต่หากมีการใช้งานในเวอร์ชัน on-premise แนะนำผู้ใช้งานรีบอัปเดตแพตซ์โดยเร็วที่สุด โโย Citrix ยังแนะนำให้มีการจำกัดการเข้าถึง Citrix ADM จากเครื่องที่ได้รับอนุญาตเท่านั้น

ที่มา: bleepingcomputer.