Μια κρίσιμη ευπάθεια που παρακολουθείται ως CVE-2023-4966 σε συσκευές Citrix NetScaler ADC/Gateway έχει χρησιμοποιηθεί ενεργά ως μηδενική ημέρα από τα τέλη Αυγούστου, ανακοίνωσαν ερευνητές ασφαλείας.
Το ζήτημα ασφαλείας είναι
μι
α απο
κάλυψη
πληροφοριών και έλαβε μια επιδιόρθωση την περασμένη εβδομάδα. Επιτρέπει στους εισβολείς να έχουν πρόσβαση σε μυστικά σε συσκευές που έχουν διαμορφωθεί ως πύλες ελέγχου ταυτότητας, εξουσιοδότησης και εικονικών διακομιστών λογιστικής (AAA).
Σε ένα δελτίο ασφαλείας στις 10 Οκτωβρίου με λίγες τεχνικές λεπτομέρειες, η Citrix προέτρεψε έντονα τους πελάτες να εγκαταστήσουν τη διαθέσιμη
ενημέρωση
χωρίς καθυστέρηση.
Μια αναφορά από τη Mandiant αποκάλυψε ότι βρήκε σημάδια εκμετάλλευσης του CVE-2023-4966 στη φύση από τον Αύγουστο για κλοπή περιόδων ελέγχου ταυτότητας και κλοπή λογαριασμών.
«Η Mandiant εντόπισε μηδενική εκμετάλλευση αυτής της ευπάθειας στη φύση, αρχής γενομένης από τα τέλη Αυγούστου 2023», λέει η εταιρεία κυβερνοασφάλειας.
“Η επιτυχής εκμετάλλευση θα μπορούσε να έχει ως αποτέλεσμα τη δυνατότητα παραβίασης υπαρχουσών επαληθευμένων περιόδων σύνδεσης, παρακάμπτοντας επομένως τον έλεγχο ταυτότητας πολλαπλών παραγόντων ή άλλες ισχυρές απαιτήσεις ελέγχου ταυτότητας” –
Mandiant
Η εταιρεία προειδοποιεί επίσης ότι οι παραβιασμένες συνεδρίες παραμένουν ακόμη και μετά την εγκατάσταση της ενημέρωσης ασφαλείας. Ανάλογα με τα δικαιώματα του παραβιασμένου λογαριασμού, οι εισβολείς μπορούν να αξιοποιήσουν τη μέθοδο για να μετακινηθούν πλευρικά ή να παραβιάσουν περισσότερους λογαριασμούς.
Ερευνητές ασφαλείας παρατήρησαν ότι το CVE-2023-4966 εκμεταλλεύεται για πρόσβαση σε υποδομές που ανήκουν σε κυβερνητικούς οργανισμούς και εταιρείες τεχνολογίας.
Διόρθωση και μετριασμός
Εκτός από την εφαρμογή της ενημέρωσης κώδικα από το Citrix, η Mandiant δημοσίευσε ένα έγγραφο με πρόσθετο
συστάσεις αποκατάστασης
για διαχειριστές NetScaler ADC/Gateway με τις ακόλουθες προ
τάσεις
:
- Περιορίστε τις διευθύνσεις IP εισόδου εάν δεν είναι εφικτή η άμεση ενημέρωση κώδικα.
-
Τερματίστε όλες τις συνεδρίες μετά την αναβάθμιση και εκτελέστε την εντολή CLI: διαγραφή lb persistentSessions
.
- Περιστρέψτε τα διαπιστευτήρια για ταυτότητες που έχουν πρόσβαση σε ευάλωτες συσκευές.
- Εάν εντοπιστεί ύποπτη δραστηριότητα, ειδικά με έλεγχο ταυτότητας ενός παράγοντα, περιστρέψτε ένα ευρύτερο εύρος διαπιστευτηρίων.
- Για εντοπισμένα κελύφη ιστού ή κερκόπορτες, ανακατασκευάστε τις συσκευές με την πιο πρόσφατη εικόνα καθαρού κώδικα.
- Εάν γίνεται επαναφορά από τη δημιουργία αντιγράφων ασφαλείας, βεβαιωθείτε ότι δεν υπάρχουν κερκόπορτες στη διαμόρφωση αντιγράφων ασφαλείας.
- Περιορίστε την έκθεση σε εξωτερικές επιθέσεις περιορίζοντας την είσοδο σε αξιόπιστες IP.
Επίσης, θα πρέπει να δοθεί προτεραιότητα στην αναβάθμιση των συσκευών στις ακόλουθες εκδόσεις υλικολογισμικού:
- NetScaler ADC και NetScaler Gateway 14.1-8.50 και νεότερη έκδοση
- NetScaler ADC και NetScaler Gateway 13.1-49.15 και νεότερες εκδόσεις της 13.1
- NetScaler ADC και NetScaler Gateway 13.0-92.19 και νεότερες εκδόσεις της 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.164 και νεότερες εκδόσεις του 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.300 και νεότερες εκδόσεις του 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.300 και νεότερες εκδόσεις του 12.1-NdcPP
Αυτή είναι η δεύτερη ατέλεια μηδενικής ημέρας που επιδιορθώνει η Citrix στα
προϊόντα
της φέτος. Ένα προηγούμενο, που προσδιορίστηκε ως CVE-2023-3519, έγινε αντικείμενο εκμετάλλευσης στη φύση στις αρχές Ιουλίου και έλαβε μια επιδιόρθωση μερικές εβδομάδες αργότερα.
VIA:
bleepingcomputer.com
