Citrix advierte sobre la explotación de una falla de seguridad crítica recientemente revelada en los dispositivos NetScaler ADC y Gateway que podría resultar en la exposición de información confidencial.
Seguimiento como CVE-2023-4966 (Puntuación CVSS: 9,4), la vulnerabilidad afecta a las siguientes versiones compatibles:
- NetScaler ADC y NetScaler Gateway 14.1 anteriores a 14.1-8.50
- NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.15
- NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-92.19
- NetScaler ADC y NetScaler Gateway 12.1 (actualmente al final de su vida útil)
- NetScaler ADC 13.1-FIPS anterior a 13.1-37.164
- NetScaler ADC 12.1-FIPS anterior a 12.1-55.300, y
- NetScaler ADC 12.1-NDcPP anterior a 12.1-55.300
Sin embargo, para que se produzca la explotación, es necesario que el dispositivo esté configurado como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual de autorización y contabilidad (AAA).
Si bien los parches para la falla se publicaron el 10 de octubre de 2023, Citrix revisó el aviso para señalar que “se han observado vulnerabilidades de CVE-2023-4966 en dispositivos no mitigados”.
Mandiant, propiedad de Google, en su propia alerta publicada el martes, dijo que identificó la explotación de día cero de la vulnerabilidad en estado salvaje a partir de finales de agosto de 2023.
“Una explotación exitosa podría resultar en la capacidad de secuestrar sesiones autenticadas existentes, evitando así la autenticación multifactor u otros requisitos de autenticación estrictos”, dijo la firma de inteligencia sobre amenazas. dicho.
“Estas sesiones pueden persistir después de que se haya implementado la actualización para mitigar CVE-2023-4966”.
Mandiant también dijo que detectó un secuestro de sesión en el que los datos de la sesión fueron robados antes de la implementación del parche y posteriormente utilizados por un actor de amenazas no especificado.
“El secuestro de sesión autenticada podría resultar en un mayor acceso posterior en función de los permisos y el alcance de acceso que se permitió a la identidad o sesión”, agregó.
“Un actor de amenazas podría utilizar este método para recopilar credenciales adicionales, girar lateralmente y obtener acceso a recursos adicionales dentro de un entorno”.
No se ha determinado el actor amenazador detrás de los ataques, pero se dice que la campaña estuvo dirigida a servicios profesionales, tecnología y organizaciones gubernamentales.
A la luz del abuso activo de la falla y con los errores de Citrix convirtiéndose en un pararrayos para los actores de amenazas, es imperativo que los usuarios actúen rápidamente para actualizar sus instancias a la última versión para mitigar las amenazas potenciales.
“Las organizaciones deben hacer algo más que simplemente aplicar el parche: también deben finalizar todas las sesiones activas”, dijo el CTO de Mandiant, Charles Carmakal. dicho. “Aunque esta no es una vulnerabilidad de ejecución remota de código, priorice la implementación de este parche dada la explotación activa y la criticidad de la vulnerabilidad”.