Una nueva falla crítica de Citrix ADC y Gateway se está explotando como un día cero

Citrix advierte hoy a los clientes sobre una vulnerabilidad crítica (CVE-2023-3519) en NetScaler ADC y NetScaler Gateway, que ya implementa en la naturaleza, e «insta encarecidamente» a los clientes a instalar versiones actualizadas sin demora.

El problema de seguridad puede ser el mismo anunciado en un foro de hackers a principios de este mes como una vulnerabilidad de día cero.

debe parchear

Anteriormente Citrix ADC y Citrix Gateway, dos productos NetScaler recibieron nuevas versiones hoy para mitigar las tres vulnerabilidades.

El más grave de ellos recibió una puntuación de 9,8 sobre 10 y se considera CVE-2023-3519. Un atacante puede usarlo para ejecutar código de forma remota sin autenticación.

Para que los piratas informáticos aprovechen el problema de seguridad durante los ataques, el dispositivo vulnerable debe configurarse como una puerta de enlace (servidor virtual VPN, Proxy ICA, CVPN, Proxy RDP) o como un servidor de autenticación virtual (el llamado servidor AAA).

En un boletín de seguridad de hoy, Citrix dice que «se ha observado la explotación de CVE-2023-3519 en dispositivos sin parches» y recomienda encarecidamente a sus clientes que se actualicen a una versión actualizada que solucione el problema;

• NetScaler ADC y NetScaler Gateway 13.1-49.13 y versiones posteriores
• NetScaler ADC y NetScaler Gateway 13.0-91.13 y versiones posteriores 13.0
• NetScaler ADC 13.1-FIPS 13.1-37.159 y versiones posteriores 13.1-FIPS
• NetScaler ADC 12.1-FIPS 12.1-65.36 y versiones posteriores de 12.1-FIPS
• NetScaler ADC 12.1-NDcPP 12.1-65.36 y versiones posteriores de 12.1-NDcPP

La empresa señala que NetScaler ADC y NetScaler Gateway versión 12.1 han llegado al final de su vida útil y los clientes deben actualizar a una versión más nueva del producto.

En el foro de hackers de Citrix 0day

En la primera semana de julio, alguien anunció una vulnerabilidad de día cero de Citrix ADC en un foro de hackers. Hay muy pocos detalles para vincularlo definitivamente con el boletín de seguridad de Citrix hoy, pero las pequeñas pistas disponibles parecen apuntar a ello.

El autor de la publicación dijo el 6 de julio que tenían un control remoto de código de día cero que supuestamente funcionaba para las versiones de Citrix ADC anteriores a 13.1 compilación 48.47.

BleepingComputer también recibió un aviso hace un tiempo de que Citrix se enteró del anuncio de día cero en un foro de delitos cibernéticos y estaba trabajando en un parche antes de que se descubriera el problema.

Los defensores conscientes del problema dijeron que esperan que los exploits activos continúen hasta que Citrix emita una solución.

Las organizaciones pueden comenzar a investigar si se han visto comprometidas buscando shells web que sean más recientes que la última fecha de instalación.

Los registros de errores HTTP también pueden revelar anomalías que pueden indicar una explotación anterior. Los administradores también pueden verificar los registros de shell en busca de comandos inusuales que puedan usarse en la fase posterior a la operación.

XSS y escalada de privilegios

Las actualizaciones también incluyen correcciones para otras dos vulnerabilidades identificadas como CVE-2023-3466 y CVE-2023-3467. Ambos tienen un índice de gravedad alto de 8,3 y 8 respectivamente.

CVE-2023-3466 es un problema de cross-site scripting (XSS) reflejado que puede explotarse si una víctima carga el enlace de un atacante en el navegador y se accede al dispositivo vulnerable desde la misma red.

Citrix enumera CVE-2023-3467 como una vulnerabilidad que permite a un atacante elevar los privilegios de administrador raíz (nsroot).

La explotación de esta falla requiere acceso autenticado a la dirección IP (NSIP) o IP de subred (SNIP) de los dispositivos NetScaler con acceso a la interfaz de administración.

Los detalles técnicos sobre las tres vulnerabilidades no están disponibles públicamente en el momento de escribir este artículo, pero las organizaciones con dispositivos NetScaler ADC y Gateway deberían priorizar su actualización.