Ciberseguridad 360 | CISA: Explotación de vulnerabilidad Zero Day de Citrix en organización de infraestructura crítica

Agentes de amenazas han penetrado en la red de una organizaci�n estadounidense del sector de infraestructuras cr�ticas tras explotar una vulnerabilidad RCE de Zero Day identificada actualmente como CVE-2023-3519, un problema de gravedad cr�tica en NetScaler ADC y Gateway que Citrix parche� esta semana.

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) afirma que el ataque se produjo en junio y que los hackers utilizaron su acceso para robar datos de Active Directory.

Los hackers exfiltraron datos de AD

En un aviso de esta semana, CISA advierte de que los hackers aprovecharon el fallo de ejecuci�n remota de c�digo (RCE) sin autenticaci�n para plantar una webshell en el dispositivo NetScaler Application Delivery Controller (ADC) de no producci�n del objetivo.

La puerta trasera permiti� al atacante descubrir objetos de Active Directory (AD), que incluyen usuarios, grupos, aplicaciones y dispositivos en la red, as� como robar datos de AD.

Debido a que el dispositivo NetScaler ADC objetivo estaba en un entorno segregado en la red, los hackers no fueron capaces de moverse lateralmente a un controlador de dominio, dice CISA.

CISA ha publicado un aviso con t�cticas, t�cnicas y procedimientos (TTP), junto con m�todos de detecci�n para ayudar a las organizaciones, en particular las del segmento de infraestructuras cr�ticas, a determinar si sus sistemas se han visto comprometidos.

Durante la fase inicial del ataque, los hackers cargaron en el dispositivo vulnerable un archivo TGZ con un webshell gen�rico, un script de descubrimiento y un binario setuid.

Hicieron un escaneo SMB en la subred y utilizaron el webshell para comprobar y exfiltrar el inventario de Active Directory, con un inter�s particular en:

Archivos de configuraci�n de NetScaler que contienen una contrase�a cifrada cuya clave est� en el dispositivo ADC.
Las claves de descifrado de NetScaler, que pueden desbloquear la contrase�a de AD en el archivo de configuraci�n.
La lista de usuarios, sistemas, grupos, subredes, unidades organizativas, contactos, particiones y confianzas en el Directorio Activo.

El atacante cifr� los datos de descubrimiento utilizando la biblioteca OpenSSL y los prepar� para su exfiltraci�n a una ubicaci�n accesible desde la web en forma comprimida como un tarball disfrazado de imagen PNG.

Parece que los hackers intentaron cubrir sus huellas borrando el archivo de autorizaci�n, que impedir�a a los administradores iniciar sesi�n de forma remota. Para recuperar el acceso, es necesario reiniciar en modo monousuario, lo que puede haber borrado artefactos.

Los administradores de NetScaler deber�an instalar sin demora las �ltimas actualizaciones publicadas por Citrix para solucionar el problema.

Miles de servidores vulnerables expuestos

Una evaluaci�n inicial de The Shadowserver Foundation, una organizaci�n sin fines de lucro para hacer Internet m�s seguro, vio que CVE-2023-3519 probablemente afectaba a m�s de 11.000 servidores NetScaler ADC y Gateway expuestos en l�nea.

Ese n�mero ha aumentado a 15.000, seg�n ha informado hoy la organizaci�n a BleepingComputer, despu�s de refinar su consulta para etiquetar como vulnerables todos los dispositivos NetScaler que devolv�an un encabezado de "�ltima modificaci�n" con una fecha anterior al 1 de julio.

El nuevo recuento tambi�n se debe a la mejora de la cobertura de detecci�n de los equipos NetScaler AAA (servidor virtual de autenticaci�n). Aunque ha aumentado, el n�mero probablemente representa una estimaci�n conservadora, dice la organizaci�n.

Fuente: bleepingcomputer