Citrix informa de la explotación de una falla de seguridad crítica recientemente revelada en los dispositivos NetScaler ADC y Gateway que podría resultar en la exposición de información confidencial.
Rastreada como CVE-2023-4966 (puntuación CVSS: 9.4), la vulnerabilidad afecta a las siguientes versiones:
- NetScaler ADC y NetScaler Gateway 14.1 antes de 14.1-8.50
- NetScaler ADC y NetScaler Gateway 13.1 antes de 13.1-49.15
- NetScaler ADC y NetScaler Gateway 13.0 antes de 13.0-92.19
- NetScaler ADC y NetScaler Gateway 12.1 (actualmente al final de su vida útil)
- NetScaler ADC 13.1-FIPS antes de 13.1-37.164
- NetScaler ADC 12.1-FIPS antes de 12.1-55.300, y
- NetScaler ADC 12.1-NDcPP antes de 12.1-55.300
Sin embargo, para que se produzca la explotación, es necesario que el dispositivo esté configurado como Gateway (servidor virtual VPN, proxy ICA, CVPN, PROXY RDP) o un servidor virtual de autorización y contabilidad (AAA).
Si bien los parches para la falla se lanzaron el 10 de octubre de 2023, Citrix ahora ha revisado el aviso para señalar que “se han observado exploits de CVE-2023-4966 en dispositivos no mitigados”.
Mandiant, propiedad de Google, en su propia alerta publicada el martes, dijo que identificó la explotación de día cero de la vulnerabilidad en la naturaleza a partir de finales de agosto de 2023.
“La explotación exitosa podría resultar en la capacidad de secuestrar sesiones autenticadas existentes, evitando así la autenticación multifactor u otros requisitos de autenticación fuertes”, dijo la firma de inteligencia de amenazas.
“Estas sesiones pueden persistir después de que se haya implementado la actualización para mitigar CVE-2023-4966”.
Mandiant también dijo que detectó el secuestro de sesiones en el que los datos de la sesión fueron robados antes de la implementación del parche y posteriormente utilizados por un actor de amenazas no especificado.
“El secuestro de sesión autenticada podría dar lugar a un mayor acceso descendente en función de los permisos y el alcance del acceso que se permitió a la identidad o sesión”, añadió.
“Un actor de amenazas podría utilizar este método para recopilar credenciales adicionales, pivotar lateralmente y obtener acceso a recursos adicionales dentro de un entorno”.
No se ha determinado el actor de amenazas detrás de los ataques, pero se dice que la campaña se dirigió a servicios profesionales, tecnología y organizaciones gubernamentales.
A la luz del abuso activo de la falla y con los errores de Citrix convirtiéndose en un pararrayos para los actores de amenazas, es imperativo que los usuarios se muevan rápidamente para actualizar sus instancias a la última versión para mitigar las amenazas potenciales.
“Las organizaciones deben hacer algo más que aplicar el parche, también deben terminar todas las sesiones activas”, dijo el CTO de Mandiant, Charles Carmakal. “Aunque no se trata de una vulnerabilidad de ejecución remota de código, por favor, priorice la implementación de este parche dada la explotación activa y la criticidad de la vulnerabilidad”.
