Πάνω από 15K διακομιστές Citrix ευάλωτοι σε επιθέσεις CVE-2023-3519 RCE
Χιλιάδες διακομιστές Citrix Netscaler ADC και Gateway που εκτίθενται στο διαδίκτυο είναι πιθανότατα ευάλωτοι έναντι ενός κρίσιμου σφάλματος εκτέλεσης απομακρυσμένου κώδικα (RCE) το οποίο εκμεταλλεύονται μη εξακριβωμένοι εισβολείς στη φύση ως μηδενική ημέρα.
Ερευνητές ασφαλείας από το Shadowserver
Foundation
, έναν μη κερδοσκοπικό οργανισμό αφιερωμένο στην ενίσχυση της ασφάλειας στο Διαδίκτυο,
αποκάλυψε
αυτή την εβδομάδα
ότι τουλάχιστον 15.000 συσκευές
αναγνωρίστηκαν ως εκτεθειμένοι σε επιθέσεις που αξιοποιούν το ελάττωμα (CVE-
2023
-3519) με βάση τις πληροφορίες έκδοσής τους.
“Προσθέτουμε ετικέτες σε όλες τις IP όπου βλέπουμε έναν κατακερματισμό έκδοσης σε μια παρουσία του Citrix. Αυτό οφείλεται στο γεγονός ότι η Citrix έχει αφαιρέσει πληροφορίες κατακερματισμού έκδοσης σε πρόσφατες αναθεωρήσεις,” Shadowserver
είπε
.
“Επομένως, είναι ασφαλές να υποθέσουμε ότι, κατά την άποψή μας, όλες οι περιπτώσεις που εξακολουθούν να παρέχουν κατακερματισμούς εκδόσεων δεν έχουν ενημερωθεί και μπορεί να είναι ευάλωτες.”
Σημείωσαν επίσης ότι υπομετρούνται, καθώς ορισμένες αναθεωρήσεις που είναι γνωστό ότι είναι ευάλωτες αλλά χωρίς κατακερματισμό έκδοσης δεν έχουν επισημανθεί και προστεθεί στον συνολικό αριθμό των εκτεθειμένων διακομιστών Citrix.
Η Citrix κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση αυτής της ευπάθειας RCE στις 18 Ιουλίου, λέγοντας ότι “παρατηρήθηκαν εκμεταλλεύσεις του CVE-2023-3519 σε μη περιορισμένες συσκευές” και προτρέποντας τους πελάτες να εγκαταστήσουν τις ενημερώσεις κώδικα το συντομότερο δυνατό.
Η εταιρεία πρόσθεσε ότι οι συσκευές Netscaler που δεν έχουν επιδιορθωθεί πρέπει να ρυθμιστούν ως πύλη (εικονικός διακομιστής VPN, ICA Proxy, CVPN, RDP Proxy) ή ένας εικονικός διακομιστής ελέγχου ταυτότητας (ο λεγόμενος διακομιστής AAA) για να είναι ευάλωτοι σε επιθέσεις.
Διακομιστές Citrix ευάλωτοι σε επιθέσεις CVE-2023-3519 (Shadowserver Foundation)
Το CVE-2023-3519 RCE zero-day ήταν πιθανόν διαθέσιμο στο διαδίκτυο από την πρώτη εβδομάδα του Ιουλίου, όταν ένας ηθοποιός απειλών άρχισε να διαφημίζει το ελάττωμα μηδενικής ημέρας του Citrix ADC σε ένα φόρουμ χάκερ.
Η BleepingComputer γνώριζε επίσης ότι η Citrix είχε μάθει για τη διαφήμιση μηδενικής ημέρας και εργαζόταν σε ένα
patch
πριν προβεί σε επίσημη αποκάλυψη.
Την ίδια μέρα, η Citrix επιδιορθώνει δύο άλλα τρωτά σημεία υψηλής σοβαρότητας που παρακολουθούνται ως CVE-2023-3466 και CVE-2023-3467.
Το πρώτο επιτρέπει στους εισβολείς να ξεκινούν επιθέσεις ανακλώμενης δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) εξαπατώντας στόχους στα ίδια δίκτυα για να φορτώσουν έναν κακόβουλο σύνδεσμο στο πρόγραμμα περιήγησης ιστού, ενώ ο δεύτερος καθιστά δυνατή την αύξηση των δικαιωμάτων για τη λήψη δικαιωμάτων root.
Ενώ το δεύτερο είναι πολύ πιο επιδραστικό, απαιτεί επίσης πρόσβαση με έλεγχο ταυτότητας στη διεπαφή διαχείρισης των ευάλωτων συσκευών μέσω της διεύθυνσης IP (NSIP) ή μιας διεύθυνσης IP SubNet (SNIP).
Η CISA διέταξε επίσης τις ομοσπονδιακές υπηρεσίες των ΗΠΑ την Τετάρτη να
ασφαλείς διακομιστές Citrix στα δίκτυά τους
κατά των συνεχιζόμενων επιθέσεων έως τις 9 Αυγούστου, προειδοποιώντας ότι το σφάλμα είχε ήδη χρησιμοποιηθεί για την παραβίαση των συστημάτων ενός οργανισμού υποδομής ζωτικής σημασίας των ΗΠΑ.
«Τον Ιούνιο του 2023, οι φορείς απειλών εκμεταλλεύτηκαν αυτήν την ευπάθεια ως μηδενική ημέρα για να ρίξουν ένα webshell στη συσκευή NetScaler ADC ενός οργανισμού υποδομής ζωτικής σημασίας», δήλωσε η CISA σε μια
χωριστή συμβουλευτική
δημοσιεύθηκε την Πέμπτη.
“Το κέλυφος ιστού επέτρεψε στους ηθοποιούς να πραγματοποιήσουν ανακάλυψη στον ενεργό κατάλογο του θύματος (AD) και να συλλέξουν και να διηθήσουν δεδομένα AD. Οι ηθοποιοί προσπάθησαν να μετακινηθούν πλευρικά σε έναν ελεγκτή τομέα, αλλά τα στοιχεία ελέγχου τμηματοποίησης δικτύου για τη συσκευή απέκλεισαν την κίνηση.”
