Ένα PoC εκμετάλλευσης για το ευάλωτο “Citrix Bleed“, που παρακολουθείται ως CVE-2023-4966, δείχνει ότι επιτρέπει σε επιτιθέμενους να ανακτήσουν τα cookies των συνεδριών πιστοποίησης από ευάλωτες συσκευές Citrix NetScaler ADC και NetScaler Gateway.
Δείτε επίσης: Citrix: Άμεση ενέργεια για τη διόρθωση κρίσιμου προβλήματος στο NetScaler
Το CVE-2023-4966 είναι ένα σοβαρό πρόβλημα αποκάλυψης πληροφοριών που μπορεί να εκμεταλλευτεί απομακρυσμένα και το οποίο η Citrix διόρθωσε στις 10 Οκτωβρίου, χωρίς να παρέχει πολλές λεπτομέρειες.
Στις 17 Οκτωβρίου, η Mandiant αποκάλυψε ότι η αδυναμία αυτή εκμεταλλεύτηκε ως zero-day σε περιορισμένες επιθέσεις από τον Αύγουστο του 2023.
Τη Δευτέρα αυτή, η Citrix εξέδωσε μια ακόμα προειδοποίηση προς τους διαχειριστές των συσκευών NetScaler ADC και Gateway, ενθαρρύνοντάς τους να ενημερώσουν άμεσα το κενό ασφαλείας, καθώς η εκμετάλλευσή του έχει αρχίσει να αυξάνεται.
Σήμερα, οι ερευνητές της Assetnote μοιράστηκαν περισσότερες λεπτομέρειες σχετικά με τη μέθοδο εκμετάλλευσης του CVE-2023-4966 και δημοσίευσαν ένα PoC exploit στο GitHub για να επιδείξουν τα ευρήματά τους και να βοηθήσουν όσους θέλουν να ελέγξουν την εκθεσιμότητά τους.
Το CVE-2023-4966 Citrix Bleed είναι μια ευπάθεια ανεξέλεγκτου buffer που επηρεάζει τις συσκευές Citrix NetScaler ADC και NetScaler Gateway, οι οποίες χρησιμοποιούνται για την ισορροπία φόρτου, την υλοποίηση της προστασίας firewall , τη διαχείριση της κίνησης, το VPN και την πιστοποίηση των χρηστών.
Αναλύοντας τις μη ενημερωμένες (13.1-48.47) και τις ενημερωμένες εκδόσεις (13.1-49.15) του NetScaler, η Assetnote εντόπισε 50 αλλαγές στις λειτουργίες.
Ανάμεσα σε αυτές τις λειτουργίες, οι ερευνητές ανακάλυψαν δύο (‘ns_aaa_oauth_send_openid_config’ και ‘ns_aaa_oauthrp_send_openid_config’) που περιείχαν επιπλέον ελέγχους ορίων πριν τη δημιουργία μιας απάντησης.
Δείτε ακόμα: Το πρόσφατα διορθωμένο Citrix NetScaler bug είχε χρησιμοποιηθεί ως zero-day
Αυτές οι λειτουργίες χρησιμοποιούν τη ‘snprintf‘ για να εισάγουν τα κατάλληλα δεδομένα στο δημιουργημένο φορτίο JSON για την ρυθμιστική πληροφορία OpenID. Στην προ-έκδοση της ενημέρωσης, η απόκριση στέλνεται αμέσως χωρίς ελέγχους.
Η ευπάθεια προκύπτει από την επιστρεφόμενη τιμή της συνάρτησης snprintf, η οποία μπορεί να οδηγήσει σε buffer over-read αν εκμεταλλευθεί. Η επιδιορθωμένη έκδοση εξασφαλίζει ότι θα αποστέλλεται μια απάντηση μόνο εάν η snprintf επιστρέφει μια τιμή μικρότερη από 0x20000.
Αξιοποιώντας την ευπάθεια χιλιάδες φορές για τον έλεγχο, οι αναλυτές βρήκαν συνεχώς μία συμβολοσειρά μορφής hex μήκους 32-65 byte, που είναι ένα “session cookie”.
Η ανάκτηση αυτού του cookie καθιστά δυνατή την επιτήρηση λογαριασμών και την απόκτηση απεριόριστης πρόσβασης σε ευάλωτες συσκευές από επιτιθέμενους.
Τώρα που ένα PoC για το CVE-2023-4966 είναι δημόσια διαθέσιμο, αναμένεται να αυξηθούν οι επιθέσεις από κακόβουλους χρήστες στις συσκευές Citrix Netscaler για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
Καθώς αυτοί οι τύποι ευπαθειών χρησιμοποιούνται συχνά για επιθέσεις ransomware και κλοπή δεδομένων, συνιστάται ανεπιφύλακτα στους διαχειριστές συστήματος να εγκαταστήσουν αμέσως ενημερώσεις για να επιδιορθώσουν την αδυναμία.
Δείτε επίσης: Citrix NetScaler: Χάκερς κλέβουν διαπιστευτήρια από τις σελίδες σύνδεσής του
Η καλύτερη πρακτική για την προστασία από το Citrix Bleed exploit είναι να ενημερώνετε το λογισμικό Citrix σας σε τακτική βάση. Η Citrix ανακοινώνει τακτικά ενημερώσεις και διορθώσεις για τυχόν ευπάθειες που μπορεί να εκμεταλλευτούν οι επιτιθέμενοι. Επομένως, είναι σημαντικό να ελέγχετε τακτικά για ενημερώσεις και να τις εγκαθιστάτε άμεσα για να προστατεύσετε το σύστημά σας.
Επιπλέον, μια καλή πρακτική είναι να εφαρμόζετε αυστηρές πολιτικές ασφαλείας για την πρόσβαση στο Citrix NetScaler. Αυτό μπορεί να περιλαμβάνει τη χρήση πολύπλοκων κωδικών πρόσβασης, την ενεργοποίηση της διπλής επαλήθευσης και την περιορισμένη πρόσβαση μόνο σε εξουσιοδοτημένους χρήστες.
Τέλος, είναι σημαντικό να εκπαιδεύετε τους χρήστες σας σχετικά με τις απειλές ασφαλείας και τη σωστή χρήση του Citrix NetScaler. Οι χρήστες πρέπει να είναι ενημερωμένοι για τους κινδύνους και να ακολουθούν τις προκαθορισμένες πολιτικές ασφαλείας, όπως η αποφυγή κλικ σε ύποπτα συνδέσμους ή η χρήση ασφαλών κωδικών πρόσβασης.
Πηγή: bleepingcomputer