Η εταιρεία Citrix προειδοποίησε σήμερα τους διαχειριστές να ασφαλίσουν αμέσως όλες τις συσκευές NetScaler ADC και Gateway, έναντι επιθέσεων που εκμεταλλεύονται την ευπάθεια CVE-2023-4966.
Δείτε επίσης: Το πρόσφατα διορθωμένο Citrix NetScaler bug είχε χρησιμοποιηθεί ως zero-day
Η εταιρεία επιδιόρθωσε πριν από δύο εβδομάδες αυτήν την κρίσιμη ευπάθεια αποκάλυψης ευαίσθητων πληροφοριών, δίνοντάς της μια βαθμολογία σοβαρότητας 9,4/10, καθώς μπορεί να εκμεταλλευτεί απομακρυσμένα από μη πιστοποιημένους επιτιθέμενους σε επιθέσεις low-complexity, που δεν απαιτούν αλληλεπίδραση από τον χρήστη.
Οι συσκευές NetScaler πρέπει να ρυθμιστούν ως Πύλη (εικονικός διακομιστής VPN, ICA Proxy, CVPN, RDP Proxy) ή ως εικονικός διακομιστής AAA για να είναι ευάλωτες στις εν λόγω επιθέσεις.
Ενώ η εταιρεία δεν είχε αποδείξεις ότι η ευπάθεια εκμεταλλευόταν ενεργά όταν κυκλοφόρησε η διόρθωση, η Mandiant αποκάλυψε μία περίπτωση με την εκμετάλλευσή της, μία εβδομάδα αργότερα.
Η εταιρεία κυβερνοασφάλειας ανέφερε ότι οι εισβολείς είχαν εκμεταλλευτεί το CVE-2023-4966 ως ένα zero-day από τον Αύγουστο του 2023 για να κλέψουν συνεδρίες πιστοποίησης και να αποκτήσουν πρόσβαση σε λογαριασμούς, κάτι που θα μπορούσε να βοηθήσει τους εισβολείς να παρακάμψουν την πολυπαραγοντική πιστοποίηση ή άλλες απαιτήσεις ασφαλείας.
Η Mandiant προειδοποίησε ότι οι παραβιασμένες συνεδρίες παραμένουν ακόμα και μετά την επιδιόρθωση και, ανάλογα με τις άδειες των παραβιασμένων λογαριασμών, οι επιτιθέμενοι θα μπορούσαν να μετακινηθούν πλευρικά στο δίκτυο ή να παραβιάσουν άλλους λογαριασμούς. Επιπλέον, η Mandiant εντόπισε περιπτώσεις όπου η CVE-2023-4966 εκμεταλλεύτηκε για να διεισδύσει στην υποδομή κυβερνητικών οντοτήτων και τεχνολογικών επιχειρήσεων.
Δείτε ακόμα: Citrix NetScaler: Χάκερς κλέβουν διαπιστευτήρια από τις σελίδες σύνδεσής του
Η Citrix προειδοποίησε ότι “υπάρχουν αναφορές περιστατικών που είναι συνεπή με εξαπάτηση συνεδρίας, και έχουμε λάβει αξιόπιστες αναφορές επιθέσεων που εκμεταλλεύονται αυτήν την ευπάθεια.“
“Εάν χρησιμοποιείτε επηρεασμένες εκδόσεις και έχετε διαμορφώσει το NetScaler ADC ως πύλη (εικονικό διακομιστή VPN, πρόξενο ICA, CVPN, πρόξενο RDP) ή ως εικονικό διακομιστή AAA, σας συνιστούμε ανεπιφύλακτα να εγκαταστήσετε αμέσως τις συνιστώμενες εκδόσεις, καθώς αυτή η ευπάθεια έχει βαθμολογηθεί ως κρίσιμη.“
Η Citrix πρόσθεσε ότι “δεν είναι σε θέση να παράσχει αναλυτική εξέταση για να καθορίσει εάν ένα σύστημα μπορεί να έχει υποστεί παραβίαση“.
Επιπλέον, η Citrix συνιστά να τερματίσετε όλες τις ενεργές και συνεχείς συνεδρίες χρησιμοποιώντας τις παρακάτω εντολές.:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
Οι συσκευές NetScaler ADC και NetScaler Gateway, όταν δεν έχουν ρυθμιστεί ως πύλες (συμπεριλαμβανομένου εικονικού διακομιστή VPN, προκείμενου ICA, CVPN ή RDP) ή ως εικονικοί διακομιστές AAA, δεν είναι ευάλωτες σε επιθέσεις CVE-2023-4966.
Αυτό περιλαμβάνει επίσης προϊόντα όπως το NetScaler Application Delivery Management (ADM) και το Citrix SD-WAN, όπως επιβεβαίωσε η Citrix. Την περασμένη Πέμπτη, η CISA πρόσθεσε το CVE-2023-4966 στον Κατάλογο των Εκμεταλλεύσιμων και Ευπαθών Ευρημάτων, διατάσσοντας ομοσπονδιακούς φορείς να ασφαλίσουν τα συστήματά τους από ενεργή εκμετάλλευση έως τις 8 Νοεμβρίου.
Δείτε επίσης: Η ομάδα hacking FIN8 επιτίθεται σε συστήματα Citrix NetScaler;
Υπάρχουν γνωστές εκμεταλλεύσεις και επιθέσεις που σχετίζονται με αυτό το σφάλμα. Οι επιθέσεις που εκμεταλλεύονται αυτό το σφάλμα μπορούν να οδηγήσουν στην παραβίαση της ασφάλειας του συστήματος και στην πρόσβαση σε ευαίσθητα δεδομένα. Οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση σε πιστωτικές κάρτες, προσωπικές πληροφορίες και άλλα ευαίσθητα δεδομένα που αποθηκεύονται στο σύστημα.
Επιπλέον, οι επιθέσεις που εκμεταλλεύονται αυτήν την ευπάθεια μπορούν να οδηγήσουν σε αποκλεισμό των υπηρεσιών και σε διακοπή της λειτουργίας του συστήματος. Αυτό μπορεί να προκαλέσει σημαντικές δυσκολίες και απώλειες για τις επιχειρήσεις που εξαρτώνται από το NetScaler για την παροχή των υπηρεσιών τους.
Επομένως, είναι κρίσιμο για τους διαχειριστές να εφαρμόσουν άμεσα τις διορθώσεις που παρέχονται από την Citrix για να αποτρέψουν τυχόν επιθέσεις και να διασφαλίσουν την ασφάλεια του συστήματός τους.
Πηγή: bleepingcomputer
