Η Citrix προειδοποίησε σήμερα τους διαχειριστές να ασφαλίσουν αμέσως όλες τις
συσκευές
NetScaler ADC και Gateway έναντι συνεχιζόμενων επιθέσεων που εκμεταλλεύονται την ευπάθεια CVE-
2023
-4966.
Η εταιρεία διορθώθηκε αυτό το ελάττωμα αποκάλυψης κρίσιμων ευαίσθητων πληροφοριών (παρακολούθηση ως
CVE-2023-4966
) πριν από δύο εβδομάδες, αποδίδοντάς του μια βαθμολογία σοβαρότητας 9,4/10, καθώς είναι απομακρυσμένα εκμεταλλεύσιμο από μη πιστοποιημένους εισβολείς σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Οι συσκευές NetScaler πρέπει να διαμορφωθούν ως πύλη (εικονικός διακομιστής VPN, διακομιστής μεσολάβησης ICA, CVPN, διακομιστής μεσολάβησης RDP) ή εικονικός διακομιστής AAA για να είναι ευάλωτοι σε επιθέσεις.
Ενώ η εταιρεία δεν είχε αποδείξεις ότι η ευπάθεια εκμεταλλευόταν στη φύση όταν κυκλοφόρησε η επιδιόρθωση, η συνεχιζόμενη εκμετάλλευση αποκαλύφθηκε από τη Mandiant μία εβδομάδα αργότερα.
Η εταιρεία
κυβερνοασφάλεια
ς είπε ότι οι παράγοντες απειλών εκμεταλλεύονταν το CVE-2023-4966 ως μηδενική ημέρα από τα τέλη Αυγούστου 2023 για να κλέψουν συνεδρίες ελέγχου ταυτότητας και να παραβιάσουν λογαριασμούς, κάτι που θα μπορούσε να βοηθήσει τους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων ή άλλες ισχυρές απαιτήσεις ελέγχου ταυτότητας.
Η Mandiant προειδοποίησε ότι οι παραβιασμένες περίοδοι λειτουργίας παραμένουν ακόμη και μετά την ενημέρωση κώδικα και, ανάλογα με τα δικαιώματα των παραβιασμένων λογαριασμών, οι εισβολείς θα μπορούσαν να μετακινηθούν πλευρικά στο δίκτυο ή να παραβιάσουν άλλους λογαριασμούς.
Επιπλέον, η Mandiant βρήκε περιπτώσεις όπου το CVE-2023-4966 έγινε αντικείμενο εκμετάλλευσης για διείσδυση στην
υποδομή
κυβερνητικών φορέων και εταιρειών
τεχνολογία
ς.
Οι διαχειριστές προτρέπονται να ασφαλίσουν τα συστήματα από συνεχείς επιθέσεις
“Έχουμε πλέον αναφορές περιστατικών που συνάδουν με την αεροπειρατεία συνεδρίας και έχουμε λάβει αξιόπιστες αναφορές για στοχευμένες επιθέσεις που εκμεταλλεύονται αυτήν την ευπάθεια.”
Η Citrix προειδοποίησε σήμερα
.
“Εάν χρησιμοποιείτε επηρεασμένες εκδόσεις και έχετε διαμορφώσει το NetScaler ADC ως πύλη (εικονικός διακομιστής VPN, διακομιστής μεσολάβησης ICA, CVPN, διακομιστής μεσολάβησης RDP) ή ως εικονικός διακομιστής AAA, σας συνιστούμε να εγκαταστήσετε αμέσως τις προτεινόμενες εκδόσεις, επειδή αυτή η ευπάθεια έχει αναγνωρίστηκε ως κρίσιμος».
Η Citrix πρόσθεσε ότι «δεν είναι σε θέση να παράσχει εγκληματολογική ανάλυση για να προσδιορίσει εάν ένα σύστημα μπορεί να έχει παραβιαστεί».
Επίσης, η Citrix συνιστά τη θανάτωση όλων των ενεργών και επίμονων συνεδριών χρησιμοποιώντας τις ακόλουθες εντολές:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
Οι συσκευές NetScaler ADC και NetScaler Gateway, όταν δεν έχουν ρυθμιστεί ως πύλες (συμπεριλαμβανομένου εικονικού διακομιστή VPN, διακομιστή μεσολάβησης ICA, CVPN ή διακομιστή μεσολάβησης RDP) ή ως εικονικοί διακομιστές AAA (τυπικές διαμορφώσεις εξισορρόπησης φορτίου, για παράδειγμα), δεν είναι ευάλωτες στο CVE-2023 -4966 επιθέσεις.
Αυτό περιλαμβάνει επίσης προϊόντα όπως το NetScaler Application Delivery Management (ADM) και το Citrix SD-WAN, όπως επιβεβαίωσε η Citrix.
Την περασμένη Πέμπτη, CISA
προστέθηκε CVE-2023-4966
στον Κατάλογο Γνωστών Εκμεταλλευόμενων και Ευπαθειών του, διατάσσοντας τις ομοσπονδιακές υπηρεσίες να προστατεύσουν τα συστήματά τους από την ενεργό εκμετάλλευση έως τις 8 Νοεμβρίου.
VIA:
bleepingcomputer.com
