Zero-Day

Citrix publicó un boletín de seguridad para una vulnerabilidad de divulgación de información confidencial (CVE-2023-4966) que afecta a los dispositivos NetScaler ADC y NetScaler Gateway.

Mandiant ha identificado la explotación de este Zero-Day día en estado salvaje a partir de finales de agosto de 2023. Una explotación exitosa podría resultar en la capacidad de secuestrar sesiones autenticadas existentes, evitando así la autenticación multifactor u otros requisitos de autenticación estrictos.

Actualmente existen al menos 18.000 miles de dispositivos vulnerables:

  • FOFA: app="citrix-Gateway" || app="citrix-ADC" || app="citrix-NetScaler-Gateway"
  • ZoomEye: app:"Citrix Login"
  • Shodan: http.html_hash:-1637505169

Estas sesiones pueden persistir después de que se haya implementado la actualización para mitigar CVE-2023-4966. Además, se han observado secuestro de sesión en el que los datos de la sesión fueron robados antes de la implementación del parche y posteriormente utilizados por un actor de amenazas.

El secuestro de la sesión autenticada podría resultar en un mayor acceso posterior según los permisos y el alcance de acceso que se permitía a la identidad o sesión. Un actor de amenazas podría utilizar este método para recopilar credenciales adicionales, girar lateralmente y obtener acceso a recursos adicionales dentro de un entorno.

Las siguientes versiones de los dispositivos NetScaler ADC y Gateway se ven afectadas por la vulnerabilidad:

  • NetScaler ADC y NetScaler Gateway 14.1 antes de 14.1-8.50
  • NetScaler ADC y NetScaler Gateway 13.1 antes de 13.1-49.15
  • NetScaler ADC y NetScaler Gateway 13.0 antes de 13.0-92.19
  • NetScaler ADC 13.1-FIPS anterior a 13.1-37.164
  • NetScaler ADC 12.1-FIPS anterior a 12.1-55.300
  • NetScaler ADC 12.1-NDcPP anterior a 12.1-55.300

Nota: NetScaler ADC y NetScaler Gateway versión 12.1 están al final de su vida útil (EOL) y también son vulnerables.

Citrix ha observado que los clientes que utilizan servicios en la nube administrados por Citrix o autenticación adaptativa administrada por Citrix NO se ven afectados por CVE-2023-4966.

Hasta la fecha, Mandiant ha observado explotación en servicios profesionales, tecnología y organizaciones gubernamentales. Con base en estas observaciones, Mandiant está brindando pasos adicionales para remediar y reducir los riesgos relacionados con esta vulnerabilidad.

Fuente y redacción: segu-info.com.ar

Compartir