Uma vulnerabilidade de gravidade crítica recentemente corrigida no Citrix NetScaler Application Delivery Controller (ADC) e no NetScaler Gateway vinha sendo explorada como um dia zero desde agosto, informa a unidade de segurança cibernética Mandiant do Google.
A falha, rastreada como CVE-2023-4966 e com escore de 9.4 no sistema de pontuação comum de vulnerabilidades (CVSS), pode ser explorada sem autenticação para vazar informações confidenciais de appliances on premises configurados como um gateway ou um servidor virtual AAA.
A Citrix anunciou patches para esse problema, além de para uma vulnerabilidade de alta gravidade no NetScaler ADC e Gateway em 10 de outubro, mas não fez menção a exploração potencial. Na terça-feira, 17, no entanto, a gigante da tecnologia atualizou seu aviso para alertar os clientes sobre a exploração do CVE-2023-4966 e pedir que atualizem suas instâncias o mais rápido possível.
A falha foi corrigida no NetScaler ADC e no NetScaler Gateway versões 14.1-8.50, 13.1-49.15 e 13.0-92.19 e no NetScaler ADC versões 13.1-FIPS 13.1-37.164, 12.1-FIPS 12.1-55.300 e 12.1-NDcPP 12.1-55.300.
Também na terça-feira, a Mandiant alertou que a vulnerabilidade vinha sendo explorada desde agosto, em ataques direcionados a governos, serviços profissionais e organizações de tecnologia. A exploração bem-sucedida do bug pode permitir que um invasor sequestre sessões autenticadas existentes, ignorando métodos de autenticação mais fortes, como a autenticação multifator.
“Essas sessões podem persistir após a implantação da atualização para mitigar o CVE-2023-4966. Além disso, observamos o sequestro de sessão em que os dados da sessão foram roubados antes da implantação do patch e, posteriormente, usados por um agente de ameaça”, alerta a Mandiant.
Veja isso
2 mil instâncias do Citrix NetScaler infectadas com backdoor
Mais de 640 servidores Citrix são violados em ataques contínuos
Em um guia de correção (PDF), a Mandiant recomenda isolar as instâncias do NetScaler ADC e do Gateway em preparação para a aplicação de patches, restringir o acesso a dispositivos sem patch, atualizar os dispositivos, encerrar todas as sessões ativas após a atualização e verificar os appliances em busca de atividades mal-intencionadas, backdoors e shells da web.
A empresa de segurança cibernética recomenda reconstruir dispositivos infectados a partir de imagens limpas, girar credenciais se o acesso remoto de autenticação de fator único for permitido e restringir o acesso de entrada a apenas intervalos de endereços IP de origem confiáveis ou predefinidos.