A Citrix alertou os administradores hoje para proteger todos os aparelhos NetScaler ADC e Gateway imediatamente contra ataques em andamento que exploram a vulnerabilidade
CVE-2023-4966
.
A empresa corrigiu essa falha crítica de divulgação de informações sensíveis (rastreada como
CVE-2023-4966
) duas semanas atrás, atribuindo uma classificação de gravidade de 9,4/10, pois é remotamente explorável por atacantes não autenticados em ataques de baixa complexidade que não exigem interação do usuário.
Os aparelhos NetScaler devem ser configurados como um Gateway (servidor virtual VPN, ICA Proxy, CVPN, Proxy RDP) ou um servidor virtual AAA para serem vulneráveis aos ataques.
Embora a empresa não tenha evidências de que a vulnerabilidade estava sendo explorada quando a correção foi lançada, a exploração contínua foi divulgada pela Mandiant uma semana depois.
A empresa de cibersegurança disse que atores de ameaças vinham explorando o
CVE-2023-4966
como um zero-day desde agosto de 2023 para roubar sessões de autenticação e sequestrar contas, o que poderia ajudar os atacantes a burlar a autenticação multifator ou outros requisitos de autenticação forte.
A Mandiant alertou que as sessões comprometidas persistem mesmo após a correção e, dependendo das permissões das contas comprometidas, os atacantes poderiam se mover lateralmente pela rede ou comprometer outras contas.
Além disso, a Mandiant encontrou casos em que o
CVE-2023-4966
foi explorado para infiltrar a infraestrutura de entidades governamentais e corporações tecnológicas.
"Agora temos relatórios de incidentes consistentes com sequestro de sessão e recebemos relatórios críveis de ataques direcionados explorando essa vulnerabilidade", alertou a Citrix hoje.
"Se você está usando versões afetadas e configurou o NetScaler ADC como um gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) ou como servidor virtual AAA, recomendamos fortemente que instale as versões recomendadas imediatamente porque essa vulnerabilidade foi identificada como crítica".
A Citrix acrescentou que não pode "fornecer análise forense para determinar se um sistema pode ter sido comprometido".
Além disso, a Citrix recomenda encerrar todas as sessões ativas e persistentes usando os seguintes comandos:
Os dispositivos NetScaler ADC e NetScaler Gateway, quando não configurados como gateways (incluindo servidor virtual VPN, ICA proxy, CVPN, ou Proxy RDP) ou como servidores virtuais AAA (configurações típicas de balanceamento de carga, por exemplo), não são vulneráveis aos ataques
CVE-2023-4966
.
Isso também inclui produtos como o NetScaler Application Delivery Management (ADM) e Citrix SD-WAN, conforme a Citrix confirmou.
Na última quinta-feira, a CISA adicionou o
CVE-2023-4966
ao seu Catálogo de Vulnerabilidades e Explorações Conhecidas, ordenando que as agências federais protejam seus sistemas contra exploração ativa até 8 de novembro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...