Citrix alerta administradores para corrigir imediatamente o bug NetScaler CVE-2023-4966
24 de Outubro de 2023

A Citrix alertou os administradores hoje para proteger todos os aparelhos NetScaler ADC e Gateway imediatamente contra ataques em andamento que exploram a vulnerabilidade CVE-2023-4966 .

A empresa corrigiu essa falha crítica de divulgação de informações sensíveis (rastreada como CVE-2023-4966 ) duas semanas atrás, atribuindo uma classificação de gravidade de 9,4/10, pois é remotamente explorável por atacantes não autenticados em ataques de baixa complexidade que não exigem interação do usuário.

Os aparelhos NetScaler devem ser configurados como um Gateway (servidor virtual VPN, ICA Proxy, CVPN, Proxy RDP) ou um servidor virtual AAA para serem vulneráveis aos ataques.

Embora a empresa não tenha evidências de que a vulnerabilidade estava sendo explorada quando a correção foi lançada, a exploração contínua foi divulgada pela Mandiant uma semana depois.

A empresa de cibersegurança disse que atores de ameaças vinham explorando o CVE-2023-4966 como um zero-day desde agosto de 2023 para roubar sessões de autenticação e sequestrar contas, o que poderia ajudar os atacantes a burlar a autenticação multifator ou outros requisitos de autenticação forte.

A Mandiant alertou que as sessões comprometidas persistem mesmo após a correção e, dependendo das permissões das contas comprometidas, os atacantes poderiam se mover lateralmente pela rede ou comprometer outras contas.

Além disso, a Mandiant encontrou casos em que o CVE-2023-4966 foi explorado para infiltrar a infraestrutura de entidades governamentais e corporações tecnológicas.

"Agora temos relatórios de incidentes consistentes com sequestro de sessão e recebemos relatórios críveis de ataques direcionados explorando essa vulnerabilidade", alertou a Citrix hoje.

"Se você está usando versões afetadas e configurou o NetScaler ADC como um gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) ou como servidor virtual AAA, recomendamos fortemente que instale as versões recomendadas imediatamente porque essa vulnerabilidade foi identificada como crítica".

A Citrix acrescentou que não pode "fornecer análise forense para determinar se um sistema pode ter sido comprometido".

Além disso, a Citrix recomenda encerrar todas as sessões ativas e persistentes usando os seguintes comandos:

Os dispositivos NetScaler ADC e NetScaler Gateway, quando não configurados como gateways (incluindo servidor virtual VPN, ICA proxy, CVPN, ou Proxy RDP) ou como servidores virtuais AAA (configurações típicas de balanceamento de carga, por exemplo), não são vulneráveis aos ataques CVE-2023-4966 .

Isso também inclui produtos como o NetScaler Application Delivery Management (ADM) e Citrix SD-WAN, conforme a Citrix confirmou.

Na última quinta-feira, a CISA adicionou o CVE-2023-4966 ao seu Catálogo de Vulnerabilidades e Explorações Conhecidas, ordenando que as agências federais protejam seus sistemas contra exploração ativa até 8 de novembro.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...