Wykorzystanie luk w Citrix NetScaler osiąga niebezpieczny poziom


Użytkownikom produktów Citrix NetScaler Application Delivery Controller (ADC) i NetScaler Gateway, którzy jeszcze nie zainstalowali poprawki, może brakować czasu dwie niedawno ujawnione luki aby to zrobić, po tym jak cybernetycy zaczęli zauważać podwyższony poziom aktywności skierowanej przeciwko nim.

Ujawniono 10 października i prawdopodobnie wykorzystano już w sierpniu, te dwie luki są oznaczone jako CVE-2023-4966 i CVE-2023-4967. Pierwsza z nich to luka umożliwiająca ujawnienie informacji wrażliwych, posiadająca wynik w systemie CVSS (Common Vulnerability Scoring System) na poziomie 9,4, a druga to luka powodująca odmowę usługi, która uzyskała wynik CVSS na poziomie 8,2.

Według Citrix rosnąca liczba działań ugrupowań zagrażających koncentruje się na pierwszej z tych luk. W oświadczeniu podała spółka: „Mamy obecnie raporty o incydentach odpowiadających przejęciu sesji i otrzymaliśmy wiarygodne raporty o atakach ukierunkowanych wykorzystujących tę lukę”.

Citrix stwierdził, że zdecydowanie zaleca użytkownikom produktów, których dotyczy problem, natychmiastowe zainstalowanie zaktualizowanych, zalecanych kompilacji, a także na wszelki wypadek przerwanie wszystkich aktywnych i trwałych sesji. Więcej szczegółów na ten temat można uzyskać w firmie Citrix. Należy pamiętać, że nie są dostępne żadne dalsze obejścia.

Wykorzystywanie CVE-2023-4966 może jeszcze bardziej się nasilić po opublikowaniu publicznego dowodu słuszności koncepcji (PoC) przez badaczy z AssetNote 25 października. W swoim artykule Dylan Pindur z AssetNote ujawnił, w jaki sposób udało mu się wykorzystać tę lukę w celu uzyskania prawidłowego tokena sesji.

„Podobnie jak poprzednie problemy z Citrix NetScaler, problem pogłębił się z powodu braku innych technik i środków łagodzących zapewniających dogłębną ochronę” – napisał Pindur. „Nieusuwanie wrażliwych danych z pozornie tymczasowych buforów i bardziej rygorystyczna weryfikacja danych dostarczonych przez klienta to dwa najbardziej oczywiste środki zaradcze, jakie można było zastosować, aby zminimalizować szkody”.

Reklama

Od tego czasu wiele źródeł stwierdziło, że aktywność skanowania wzrosła. W oświadczeniu przesłane do X, witryny znanej wcześniej jako Twitter, specjalisty ds. bezpieczeństwa internetowego Serwer Shadow stwierdziło, że czujniki Honeypot odnotowały „gwałtowny wzrost liczby zapytań” związanych z CVE-2023-4966.

Według stanu na 23 października ShadowServer zaobserwował na całym świecie około 9 000 podatnych na ataki instancji NetScaler – około 4100 w USA, 850 w Niemczech i 480 w Wielkiej Brytanii.

Szybki7 potwierdził również, że obserwuje większą aktywność. W oświadczeniu napisano: „Rapid7 MDR bada potencjalne wykorzystanie tej luki w środowisku klienta, ale nie jest jeszcze w stanie z dużą pewnością potwierdzić, że początkowym wektorem dostępu był CVE-2023-4966.

„Rapid7 zaleca podjęcie działań awaryjnych w celu ograniczenia ryzyka CVE-2023-4966. Podmioty zagrażające, w tym grupy oprogramowania ransomware, od dawna wykazywały duże zainteresowanie lukami w zabezpieczeniach Citrix NetScaler ADC. Spodziewamy się wzrostu wyzysku.”

Regularnie atakowany

Pomiędzy nimi Citrix NetScaler ADC i Gateway nadzorują szereg usług sieciowych i bezpieczeństwa, w tym równoważenie obciążenia, zapory ogniowe i wirtualne sieci prywatne, dzięki czemu cyberprzestępcy wiedzą, jak zwracać uwagę na nowe luki w rodzinie produktów i szybko je wykorzystywać .

Na początku tego roku trzy dni zerowe – CVE-2023-3466, odzwierciedlona luka w skryptach krzyżowych; CVE-2023-3467, luka umożliwiająca eskalację uprawnień; oraz CVE-2023-3519, błąd związany z nieuwierzytelnionym zdalnym wykonaniem kodu (RCE) – wzbudził powszechne zainteresowanie po trzeciej luce, luce RCE, która została wykorzystana przez chińską grupę państwową ds. zaawansowanych trwałych zagrożeń (APT) do upuszczenia powłoki internetowej na serwer inny niż- produkcyjne środowisko NetScaler ADC u nienazwanego operatora infrastruktury krytycznej (CNI).

Osoba zagrażająca wykorzystała tę powłokę internetową do przeprowadzenia działań wykrywania i wydobycia danych z aktywnego katalogu (AD) ofiary, a następnie próbowała przenieść się do innego kontrolera domeny, chociaż w tym momencie zostały one wykryte, gdy mechanizmy kontroli segmentacji sieci urządzenia udaremniły tę próbę.





Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Recenzja EcoFlow Glacier: lodówka, zamrażarka i kostkarka do lodu zasilana energią słoneczną

Nie wiem, komu potrzebna jest zasilana bateryjnie lodówka, zamrażarka i kostkarka do lodu na kółkach, które można ładować za pomocą panelu słonecznego, ale...

Sztuczna inteligencja Edge Copilot firmy Microsoft nie jest w stanie podsumować każdego filmu na YouTube

Dodano jedną funkcję do AI Copilot firmy Microsoft w przeglądarce Edge w tym tygodniu jest możliwość generowania streszczeń tekstowych filmów. Jednak funkcja...

UE osiąga wstępne porozumienie w sprawie ustawy o sztucznej inteligencji, torując drogę dla prawa

Po rundzie intensywnych negocjacji w tym tygodniu prawodawcy w Brukseli osiągnęli obecnie ok „porozumienie tymczasowe” w sprawie proponowanej przez Unię Europejską ustawy o...
Advertisment