Citrix waarschuwt voor misbruik van een onlangs onthulde kritieke beveiligingsfout in NetScaler ADC- en Gateway-appliances, die zou kunnen resulteren in het blootleggen van gevoelige informatie.
Bijgehouden als CVE-2023-4966 (CVSS-score: 9,4), heeft de kwetsbaarheid gevolgen voor de volgende ondersteunde versies –
- NetScaler ADC en NetScaler Gateway 14.1 vóór 14.1-8.50
- NetScaler ADC en NetScaler Gateway 13.1 vóór 13.1-49.15
- NetScaler ADC en NetScaler Gateway 13.0 vóór 13.0-92.19
- NetScaler ADC en NetScaler Gateway 12.1 (momenteel einde levensduur)
- NetScaler ADC 13.1-FIPS vóór 13.1-37.164
- NetScaler ADC 12.1-FIPS vóór 12.1-55.300, en
- NetScaler ADC 12.1-NDcPP vóór 12.1-55.300
Om misbruik mogelijk te maken, moet het apparaat echter worden geconfigureerd als een gateway (virtuele VPN-server, ICA-proxy, CVPN, RDP-proxy) of virtuele autorisatie- en boekhoudserver (AAA).
Hoewel er op 10 oktober 2023 patches voor de fout zijn uitgebracht, heeft Citrix het advies nu herzien en opgemerkt dat er “exploits van CVE-2023-4966 op niet-verzachte apparaten zijn waargenomen.”
Mandiant, eigendom van Google, zei in zijn eigen waarschuwing die dinsdag werd gepubliceerd dat het een zero-day-exploitatie van de kwetsbaarheid in het wild heeft geïdentificeerd, beginnend eind augustus 2023.
“Succesvolle exploitatie zou kunnen resulteren in de mogelijkheid om bestaande geauthenticeerde sessies te kapen, waardoor multi-factor authenticatie of andere sterke authenticatievereisten worden omzeild”, aldus het bedrijf voor bedreigingsinformatie.
“Deze sessies kunnen blijven bestaan nadat de update om CVE-2023-4966 te beperken is geïmplementeerd.”
Mandiant zei ook dat het sessiekaping detecteerde waarbij sessiegegevens werden gestolen vóór de patch-implementatie en vervolgens werden gebruikt door een niet-gespecificeerde bedreigingsacteur.
“De geauthenticeerde sessie-kaping zou dan kunnen resulteren in verdere downstream-toegang op basis van de machtigingen en de reikwijdte van de toegang die de identiteit of sessie was toegestaan”, voegde het er verder aan toe.
“Een bedreigingsacteur zou deze methode kunnen gebruiken om extra inloggegevens te verzamelen, lateraal te draaien en toegang te krijgen tot extra bronnen binnen een omgeving.”
De dreigingsactor achter de aanvallen is nog niet vastgesteld, maar de campagne zou zich hebben gericht op professionele diensten, technologie en overheidsorganisaties.
In het licht van actief misbruik van de fout en nu Citrix-bugs een bliksemafleider worden voor bedreigingsactoren, is het absoluut noodzakelijk dat gebruikers snel actie ondernemen om hun instances bij te werken naar de nieuwste versie om potentiële bedreigingen te beperken.
“Organisaties moeten meer doen dan alleen de patch toepassen – ze moeten ook alle actieve sessies beëindigen”, zegt Charles Carmakal, CTO van Mandiant. “Hoewel dit geen kwetsbaarheid is voor het uitvoeren van externe code, geeft u alstublieft prioriteit aan de implementatie van deze patch, gezien de actieve exploitatie en de kritiekheid van de kwetsbaarheid.”
