Recentemente, bug corrigido no Citrix NetScaler foi explorado como zero-day desde agosto
18 de Outubro de 2023

Uma vulnerabilidade crítica rastreada como CVE-2023-4966 em dispositivos Citrix NetScaler ADC/Gateway tem sido explorada ativamente como um zero-day desde o final de agosto, anunciaram pesquisadores de segurança.

O problema de segurança é uma divulgação de informação e recebeu uma correção na semana passada.

Ele permite que os invasores acessem segredos em aparelhos configurados como gateways de autenticação, autorização e contabilização (AAA) de servidores virtuais.

Em um boletim de segurança em 10 de outubro, com poucos detalhes técnicos, a Citrix instou fortemente os clientes a instalarem a atualização disponível sem demora.

Um relatório da Mandiant revelou que encontrou sinais da CVE-2023-4966 sendo explorada em campo desde agosto para roubar sessões de autenticação e sequestrar contas.

"A Mandiant identificou a exploração deste zero-day em curso desde o final de agosto de 2023", diz a empresa de segurança cibernética.

A empresa também adverte que as sessões sequestradas persistem mesmo após a instalação da atualização de segurança.

Dependendo das permissões da conta sequestrada, os invasores podem aproveitar o método para mover-se lateralmente ou para violar mais contas.

Pesquisadores de segurança observaram a CVE-2023-4966 sendo explorada para acesso em infraestruturas pertencentes a organizações governamentais e empresas de tecnologia.

Além de aplicar o patch da Citrix, a Mandiant publicou um documento com recomendações adicionais de remediação para administradores do NetScaler ADC/Gateway com as seguintes sugestões:

Restrinja os endereços IP de entrada se a correção imediata não for viável.

Termine todas as sessões após a atualização e execute o comando CLI: clear lb persistentSessions <vServer>.

Altere as credenciais para identidades que acessam aparelhos vulneráveis.

Se atividade suspeita for detectada, especialmente com autenticação de fator único, altere um maior escopo de credenciais.

Para conchas web ou backdoors detectados, reconstrua os aparelhos com a última imagem de fonte limpa.

Se restaurar a partir de backup, certifique-se de que não há backdoors na configuração de backup.

Limite a exposição a ataques externos restringindo a entrada a IPs confiáveis.

Além disso, deve-se priorizar a atualização dos aparelhos para as seguintes versões de firmware:

NetScaler ADC e NetScaler Gateway 14.1-8.50 e posteriores
NetScaler ADC e NetScaler Gateway 13.1-49.15 e lançamentos posteriores de 13.1
NetScaler ADC e NetScaler Gateway 13.0-92.19 e lançamentos posteriores de 13.0
NetScaler ADC 13.1-FIPS 13.1-37.164 e lançamentos posteriores de 13.1-FIPS
NetScaler ADC 12.1-FIPS 12.1-55.300 e lançamentos posteriores de 12.1-FIPS
NetScaler ADC 12.1-NDcPP 12.1-55.300 e lançamentos posteriores de 12.1-NdcPP

Este é o segundo erro zero-day que a Citrix corrige em seus produtos este ano.

Um anterior, identificado como CVE-2023-3519 , foi explorado em campo no início de julho e recebeu uma correção algumas semanas depois.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...