Citrix publicó un boletín de seguridad para una vulnerabilidad de divulgación de información confidencial (CVE-2023-4966) que afecta a los dispositivos NetScaler ADC y NetScaler Gateway.
Mandiant ha identificado la explotación de este Zero-Day día en estado salvaje a partir de finales de agosto de 2023. Una explotación exitosa podría resultar en la capacidad de secuestrar sesiones autenticadas existentes, evitando así la autenticación multifactor u otros requisitos de autenticación estrictos.
Actualmente existen al menos 18.000 miles de dispositivos vulnerables:
- FOFA:
app="citrix-Gateway" || app="citrix-ADC" || app="citrix-NetScaler-Gateway" - ZoomEye:
app:"Citrix Login" - Shodan:
http.html_hash:-1637505169
Estas sesiones pueden persistir después de que se haya implementado la actualización para mitigar CVE-2023-4966. Además, se han observado secuestro de sesión en el que los datos de la sesión fueron robados antes de la implementación del parche y posteriormente utilizados por un actor de amenazas.
El secuestro de la sesión autenticada podría resultar en un mayor acceso posterior según los permisos y el alcance de acceso que se permitía a la identidad o sesión. Un actor de amenazas podría utilizar este método para recopilar credenciales adicionales, girar lateralmente y obtener acceso a recursos adicionales dentro de un entorno.
Las siguientes versiones de los dispositivos NetScaler ADC y Gateway se ven afectadas por la vulnerabilidad:
- NetScaler ADC y NetScaler Gateway 14.1 antes de 14.1-8.50
- NetScaler ADC y NetScaler Gateway 13.1 antes de 13.1-49.15
- NetScaler ADC y NetScaler Gateway 13.0 antes de 13.0-92.19
- NetScaler ADC 13.1-FIPS anterior a 13.1-37.164
- NetScaler ADC 12.1-FIPS anterior a 12.1-55.300
- NetScaler ADC 12.1-NDcPP anterior a 12.1-55.300
Nota: NetScaler ADC y NetScaler Gateway versión 12.1 están al final de su vida útil (EOL) y también son vulnerables.
Citrix ha observado que los clientes que utilizan servicios en la nube administrados por Citrix o autenticación adaptativa administrada por Citrix NO se ven afectados por CVE-2023-4966.
Hasta la fecha, Mandiant ha observado explotación en servicios profesionales, tecnología y organizaciones gubernamentales. Con base en estas observaciones, Mandiant está brindando pasos adicionales para remediar y reducir los riesgos relacionados con esta vulnerabilidad.
Fuente y redacción: segu-info.com.ar
