0
0
Os ciberataques estão explorando ativamente um bug crítico de execução remota de código (RCE) em várias versões das tecnologias de entrega de aplicativos e acesso remoto NetScaler ADC e NetScaler Gateway da Citrix.
A falha não requer autenticação para ser explorada.
A Citrix emitiu um patch para a vulnerabilidade de dia zero, rastreada como CVE-2023-3519 , em 18 de julho, juntamente com uma recomendação para que as organizações que usam os produtos afetados o apliquem imediatamente.
Adicionado ao Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) deu urgência a essa recomendação, adicionando prontamente a vulnerabilidade de injeção de código ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e dando a todas as agências federais do poder executivo civil até 9 de agosto para aplicar o patch. “Esses tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam riscos significativos para a empresa federal”, disse a CISA em sua decisão de incluir o CVE-2023-3519 em seu catálogo.
A Citrix deu crédito a dois pesquisadores da Resillion por descobrir e relatar o bug. A empresa descreveu a vulnerabilidade como permitindo que um invasor não autenticado execute código arbitrário em um servidor afetado e deu ao bug uma classificação de gravidade de 9,8 de um máximo possível de 10. Para que uma exploração funcione, o dispositivo vulnerável precisaria ser configurado como um gateway dispositivo como um servidor virtual VPN, um proxy ICA, Citrix Virtual Private Network (CVPN), proxy RDP ou um servidor virtual AAA, disse a Citrix.
Vulnerabilidades em produtos de gateway, como o NetScaler ADC e o NetScaler Gateway, tornaram-se alvos populares para invasores nos últimos anos devido à extensão com que as organizações os estão usando para proteger o acesso remoto da força de trabalho a aplicativos e dados corporativos. Uma exploração bem-sucedida pode dar a um agente de ameaça um acesso inicial e muitas vezes altamente privilegiado em uma rede de destino.
Alvo popular
O catálogo KEV da CISA contém 12 entradas para vulnerabilidades amplamente exploradas apenas em produtos Citrix desde novembro de 2021. As mais recentes incluem CVE-2022-27518 , uma vulnerabilidade de desvio de autenticação no Citrix ADC e Gateway; CVE-2021-22941, uma falha de controle de acesso impróprio no controlador de zonas de armazenamento Citrix ShareFile; e CVE-2019-12991 , uma vulnerabilidade de injeção de comando no Citrix SD-WAN e NetScaler. Algumas falhas da Citrix, como CVE-2019-19781 de 2019, estão entre as mais visadas por agentes de ameaças da China , Irã e Rússia .
Citrix não é de longe o único alvo. A CISA e a Agência de Segurança Nacional (NSA) alertaram sobre agentes de ameaças – incluindo grupos apoiados por estados-nação – buscando e explorando ativamente vulnerabilidades em dispositivos de gateway de outros fornecedores, incluindo Fortinet, Pulse, Cisco, Netgear e QNAP. Em um comunicado conjunto de junho de 2022 , as duas agências federais alertaram sobre os agentes de ameaças chineses, em particular, visando falhas nesses produtos para “estabelecer uma ampla rede de infraestrutura comprometida” em todo o mundo. Em alguns casos, como um envolvendo uma falha da Fortinet em outubro de 2022 ( CVE-2022-40684 ), os agentes de ameaças comprometeram as redes explorando uma vulnerabilidade em um dispositivo de gateway e depois venderam o acesso à rede comprometida para outros cibercriminosos.
CVE-2023-3519 é um dos três bugs que a Citrix divulgou esta semana. Os outros dois afetam o NetScaler ADC e o NetScaler Gateway, que a Citrix renomeou como Citrix ADC e Citrix Gateway. Um deles é uma falha refletida de script entre sites ( CVE-2023-3466 ) que a empresa descreveu como exigindo que a “vítima acesse um link controlado pelo invasor no navegador enquanto estiver em uma rede com conectividade com o NSIP”. A Citrix avaliou a vulnerabilidade com uma pontuação de gravidade de 8. A outra falha, rastreada como CVE-2023-3467 , também obteve uma pontuação de 8 em gravidade e permite que um invasor aumente os privilégios para os de um administrador. Um invasor precisaria de acesso autenticado ao endereço IP do NetScaler (NSIP) ou ao endereço IP da sub-rede (SNIP) para poder explorar a vulnerabilidade, disse a Citrix.
FONTE: DARKREADING