La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) emitió un aviso el jueves advirtiendo que la falla de seguridad crítica recientemente revelada en Citrix NetScaler Application Delivery Controller (ADC) y los dispositivos Gateway está siendo abusada para lanzar shells web en sistemas vulnerables.
«En junio de 2023, los actores de amenazas explotaron esta vulnerabilidad como un día cero para lanzar un shell web en el dispositivo NetScaler ADC del entorno que no es de producción de una organización de infraestructura crítica», dijo la agencia .
«El shell web permitió a los actores realizar un descubrimiento en el directorio activo (AD) de la víctima y recopilar y filtrar datos de AD. Los actores intentaron moverse lateralmente a un controlador de dominio, pero los controles de segmentación de red para el dispositivo bloquearon el movimiento».
La deficiencia en cuestión es CVE-2023-3519 (puntaje CVSS: 9.8), un error de inyección de código que podría resultar en la ejecución remota de código no autenticado. Citrix, a principios de esta semana, lanzó parches para el problema y advirtió sobre la explotación activa en estado salvaje.
La explotación exitosa requiere que el dispositivo esté configurado como Gateway (servidor virtual VPN, Proxy ICA, CVPN, Proxy RDP) o servidor virtual de autenticación, autorización y auditoría (AAA).
CISA no reveló el nombre de la organización que se vio afectada por el incidente. El actor de amenazas o el país supuestamente detrás de él es actualmente desconocido.
En el incidente analizado por CISA, se dice que el shell web permitió la recopilación de archivos de configuración de NetScaler, claves de descifrado de NetScaler e información de AD, después de lo cual los datos se transmitieron como un archivo de imagen PNG («medialogininit.png»).
Los intentos posteriores del adversario de moverse lateralmente a través de la red, así como ejecutar comandos para identificar objetivos accesibles y verificar la conectividad de la red de salida, se vieron frustrados debido a las sólidas prácticas de segmentación de la red, señaló la agencia, y agregó que los actores también intentaron eliminar sus artefactos para cubrir las pistas.
Citrix NetScaler ADC y puerta de enlace
Las vulnerabilidades en los productos de puerta de enlace como NetScaler ADC y NetScaler Gateway se han convertido en objetivos populares para los actores de amenazas que buscan obtener acceso privilegiado a las redes objetivo. Esto hace que sea imperativo que los usuarios se muevan rápidamente para aplicar las últimas correcciones para protegerse contra posibles amenazas.
Fuente y redacción: thehackernews.com