Ciberseguridad 360 | Vulnerabilidad de Citrix NetScaler explotado como zero-day

Una vulnerabilidad cr�tica rastreada como CVE-2023-4966 en los dispositivos Citrix NetScaler ADC/Gateway ha sido explotada activamente como zero-day desde finales de agosto, anunciaron investigadores de seguridad.

El problema de seguridad es una revelaci�n de informaci�n y recibi� una soluci�n la semana pasada. Permite a los atacantes acceder a secretos en dispositivos configurados como pasarelas de servidores virtuales de autenticaci�n, autorizaci�n y contabilidad (AAA).

En un bolet�n de seguridad del 10 de octubre con pocos detalles t�cnicos, Citrix inst� encarecidamente a los clientes a instalar sin demora la actualizaci�n disponible.

Un informe de Mandiant revelaba que hab�a encontrado indicios de que CVE-2023-4966 estaba siendo explotado in the wild desde agosto para robar sesiones de autenticaci�n y secuestrar cuentas.

"Mandiant ha identificado la explotaci�n de d�a cero de esta vulnerabilidad en la naturaleza a partir de finales de agosto de 2023", dice la compa��a de ciberseguridad.

"Una explotaci�n exitosa podr�a resultar en la capacidad de secuestrar sesiones autenticadas existentes, y por lo tanto eludir la autenticaci�n multifactor u otros requisitos de autenticaci�n fuerte" - Mandiant

La empresa tambi�n advierte de que las sesiones secuestradas persisten incluso despu�s de instalar la actualizaci�n de seguridad. Dependiendo de los permisos de la cuenta secuestrada, los atacantes pueden aprovechar el m�todo para desplazarse lateralmente o violar m�s cuentas.

Los investigadores de seguridad observaron que CVE-2023-4966 estaba siendo explotado para acceder a infraestructuras pertenecientes a organizaciones gubernamentales y empresas tecnol�gicas.

Correcci�n y mitigaci�n

Aparte de aplicar el parche de Citrix, Mandiant public� un documento con recomendaciones adicionales de remediaci�n para los administradores de NetScaler ADC/Gateway con las siguientes sugerencias:

Restrinja las direcciones IP de entrada si no es posible aplicar parches inmediatamente.

Finalice todas las sesiones despu�s de la actualizaci�n y ejecute el comando de la CLI: clear lb persistentSessions <vServer>.

Rote las credenciales de las identidades que acceden a los dispositivos vulnerables.

Si se detecta actividad sospechosa, especialmente con la autenticaci�n de factor �nico, rote un mayor n�mero de credenciales.

Si se detectan web shells o backdoors, reconstruya los dispositivos con la �ltima imagen de fuente limpia.

Si se restaura a partir de una copia de seguridad, aseg�rese de que no haya puertas traseras en la configuraci�n de la copia de seguridad.

Limite la exposici�n a ataques externos restringiendo la entrada a IP de confianza.

Adem�s, debe darse prioridad a la actualizaci�n de los aparatos a las siguientes versiones de firmware:

NetScaler ADC y NetScaler Gateway 14.1-8.50 y versiones posteriores

NetScaler ADC y NetScaler Gateway 13.1-49.15 y versiones posteriores de 13.1

NetScaler ADC y NetScaler Gateway 13.0-92.19 y versiones posteriores de 13.0

NetScaler ADC 13.1-FIPS 13.1-37.164 y versiones posteriores de 13.1-FIPS

NetScaler ADC 12.1-FIPS 12.1-55.300 y versiones posteriores de 12.1-FIPS

NetScaler ADC 12.1-NDcPP 12.1-55.300 y versiones posteriores de 12.1-NdcPP

Se trata del segundo fallo zero-day que Citrix corrige en sus productos este a�o. El anterior, identificado como CVE-2023-3519, fue explotado a principios de julio y corregido unas semanas m�s tarde.

Fuente: bleepingcomputer