Um patch de dia zero (CVE-2023-3519)
CVE-2023-3519 é uma vulnerabilidade de execução remota de código (RCE) que pode permitir que um agente de ameaça não autenticado execute código arbitrário em um servidor vulnerável. No momento, não há PoC público, mas a vulnerabilidade foi observada sendo explorada na natureza.
A Citrix notou que o dispositivo deve ser configurado como um Gateway (servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy) ou servidor virtual AAA para ser vulnerável.
CVE-2023-3466 é uma vulnerabilidade XXS refletida que pode ser explorada se a vítima acessar um link controlado pelo invasor no navegador enquanto estiver em uma rede com conectividade com o NSIP.
CVE-2023-3467 pode permitir que um agente de ameaça eleve privilégios para administrador raiz (nsroot). O acesso autenticado ao NSIP ou SNIP com acesso à interface de gerenciamento é necessário para aproveitar essa vulnerabilidade.
As vulnerabilidades foram relatadas à empresa por Wouter Rijkbost e Jören Guerts, da Resillion.
Remediação
Os dispositivos Citrix têm sido um alvo popular para os cibercriminosos.
No início de 2022, a empresa relatou a exploração de uma vulnerabilidade RCE (CVE-2022-27518) em suas implantações do Citrix ADC por um grupo patrocinado pelo estado chinês. No início deste ano, os agentes de ameaças de ransomware também exploraram uma falha de desvio de autenticação (CVE-2022-27510) no Citrix ADC e no Gateway.
A empresa observou que as seguintes versões com suporte do NetScaler ADC e do NetScaler Gateway são afetadas pelas três vulnerabilidades corrigidas:
- NetScaler ADC e NetScaler Gateway 13.1 antes de 13.1-49.13
- NetScaler ADC e NetScaler Gateway 13.0 antes de 13.0-91.13
- NetScaler ADC 13.1-FIPS antes de 13.1-37.159
- NetScaler ADC 12.1-FIPS antes de 12.1-55.297
- NetScaler ADC 12.1-NDcPP antes de 12.1-55.297
Correções foram fornecidas para todas essas versões, incluindo as versões posteriores.
O NetScaler ADC e o NetScaler Gateway versão 12.1 chegaram ao fim da vida útil, o que significa que agora estão vulneráveis e devem ser atualizados para uma versão compatível o mais rápido possível.
“Este boletim se aplica apenas ao NetScaler ADC e NetScaler Gateway gerenciados pelo cliente. Os clientes que usam serviços de nuvem gerenciados pela Citrix ou autenticação adaptativa gerenciada pela Citrix não precisam realizar nenhuma ação”, acrescentou a Citrix .
Existe um documento contendo indicadores de comprometimento e “mencionando um PHP webshell, um binário SetUID e um IP” que os administradores corporativos podem usar para verificar se seus sistemas Citrix foram comprometidos, mas ainda não foi disponibilizado publicamente.
ATUALIZAÇÃO (19 de julho de 2023, 12h20 ET):
Um guia não oficial para investigar se suas instalações Citrix Netscaler foram comprometidas via CVE-2023-3519 foi tornado público .
FONTE: HELP NET SECURITY