Canal de Telegram

14 oct 2023

Segu-Info » , , » Zero-Day en Netscaler ADC Gateway explotado activamente (CVE-2023-4966 - Citrix Bleed)

Zero-Day en Netscaler ADC Gateway explotado activamente (CVE-2023-4966 - Citrix Bleed)

14 oct 2023, 11:24:00 a.m.   Comenta primero!
  , ,  

Citrix publicó un boletín de seguridad para una vulnerabilidad de divulgación de información confidencial (CVE-2023-4966) que afecta a los dispositivos NetScaler ADC y NetScaler Gateway.

Mandiant ha identificado la explotación de este Zero-Day día en estado salvaje a partir de finales de agosto de 2023. Una explotación exitosa podría resultar en la capacidad de secuestrar sesiones autenticadas existentes, evitando así la autenticación multifactor u otros requisitos de autenticación estrictos.

Actualmente existen al menos 18.000 miles de dispositivos vulnerables:

  • FOFA: app="citrix-Gateway" || app="citrix-ADC" || app="citrix-NetScaler-Gateway"
  • ZoomEye: app:"Citrix Login"
  • Shodan: http.html_hash:-1637505169

Estas sesiones pueden persistir después de que se haya implementado la actualización para mitigar CVE-2023-4966. Además, se han observado secuestro de sesión en el que los datos de la sesión fueron robados antes de la implementación del parche y posteriormente utilizados por un actor de amenazas.

El secuestro de la sesión autenticada podría resultar en un mayor acceso posterior según los permisos y el alcance de acceso que se permitía a la identidad o sesión. Un actor de amenazas podría utilizar este método para recopilar credenciales adicionales, girar lateralmente y obtener acceso a recursos adicionales dentro de un entorno.

Las siguientes versiones de los dispositivos NetScaler ADC y Gateway se ven afectadas por la vulnerabilidad:

  • NetScaler ADC y NetScaler Gateway 14.1 antes de 14.1-8.50
  • NetScaler ADC y NetScaler Gateway 13.1 antes de 13.1-49.15
  • NetScaler ADC y NetScaler Gateway 13.0 antes de 13.0-92.19
  • NetScaler ADC 13.1-FIPS anterior a 13.1-37.164
  • NetScaler ADC 12.1-FIPS anterior a 12.1-55.300
  • NetScaler ADC 12.1-NDcPP anterior a 12.1-55.300

Nota: NetScaler ADC y NetScaler Gateway versión 12.1 están al final de su vida útil (EOL) y también son vulnerables.

Citrix ha observado que los clientes que utilizan servicios en la nube administrados por Citrix o autenticación adaptativa administrada por Citrix NO se ven afectados por CVE-2023-4966.

Hasta la fecha, Mandiant ha observado explotación en servicios profesionales, tecnología y organizaciones gubernamentales. Con base en estas observaciones, Mandiant está brindando pasos adicionales para remediar y reducir los riesgos relacionados con esta vulnerabilidad.

Actualización 25/10

La vulnerabilidad ha sido bautizada como Citrix Bleed y un equipo de investigadores de Assetnote ha publicado un exploit funcional, que se puede ejecutar a través de un script en Python publicado en Github. Este exploit permite verificar la existencia de la vulnerabilidad y permite obtener información sensible explotando un desbordamiento de búfer en el encabezado HTTP Host.

Diferentes grupos de atacantes están aprovechando la falta de actualizaciones. Entre los afectados están gigantes como Toyota, ICBC, DP World y Boeing.

Fuente: Mandiant

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!