Uma vulnerabilidade crítica rastreada como
CVE-2023-4966
em dispositivos Citrix NetScaler ADC/Gateway tem sido explorada ativamente como um zero-day desde o final de agosto, anunciaram pesquisadores de segurança.
O problema de segurança é uma divulgação de informação e recebeu uma correção na semana passada.
Ele permite que os invasores acessem segredos em aparelhos configurados como gateways de autenticação, autorização e contabilização (AAA) de servidores virtuais.
Em um boletim de segurança em 10 de outubro, com poucos detalhes técnicos, a Citrix instou fortemente os clientes a instalarem a atualização disponível sem demora.
Um relatório da Mandiant revelou que encontrou sinais da
CVE-2023-4966
sendo explorada em campo desde agosto para roubar sessões de autenticação e sequestrar contas.
"A Mandiant identificou a exploração deste zero-day em curso desde o final de agosto de 2023", diz a empresa de segurança cibernética.
A empresa também adverte que as sessões sequestradas persistem mesmo após a instalação da atualização de segurança.
Dependendo das permissões da conta sequestrada, os invasores podem aproveitar o método para mover-se lateralmente ou para violar mais contas.
Pesquisadores de segurança observaram a
CVE-2023-4966
sendo explorada para acesso em infraestruturas pertencentes a organizações governamentais e empresas de tecnologia.
Além de aplicar o patch da Citrix, a Mandiant publicou um documento com recomendações adicionais de remediação para administradores do NetScaler ADC/Gateway com as seguintes sugestões:
Restrinja os endereços IP de entrada se a correção imediata não for viável.
Termine todas as sessões após a atualização e execute o comando CLI: clear lb persistentSessions <vServer>.
Altere as credenciais para identidades que acessam aparelhos vulneráveis.
Se atividade suspeita for detectada, especialmente com autenticação de fator único, altere um maior escopo de credenciais.
Para conchas web ou backdoors detectados, reconstrua os aparelhos com a última imagem de fonte limpa.
Se restaurar a partir de backup, certifique-se de que não há backdoors na configuração de backup.
Limite a exposição a ataques externos restringindo a entrada a IPs confiáveis.
Além disso, deve-se priorizar a atualização dos aparelhos para as seguintes versões de firmware:
NetScaler ADC e NetScaler Gateway 14.1-8.50 e posteriores
NetScaler ADC e NetScaler Gateway 13.1-49.15 e lançamentos posteriores de 13.1
NetScaler ADC e NetScaler Gateway 13.0-92.19 e lançamentos posteriores de 13.0
NetScaler ADC 13.1-FIPS 13.1-37.164 e lançamentos posteriores de 13.1-FIPS
NetScaler ADC 12.1-FIPS 12.1-55.300 e lançamentos posteriores de 12.1-FIPS
NetScaler ADC 12.1-NDcPP 12.1-55.300 e lançamentos posteriores de 12.1-NdcPP
Este é o segundo erro zero-day que a Citrix corrige em seus produtos este ano.
Um anterior, identificado como
CVE-2023-3519
, foi explorado em campo no início de julho e recebeu uma correção algumas semanas depois.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...