A Citrix ismét felhívja a figyelmet a “Citrix Bleed” sebezhetőségre

Több ezer Citrix NetScaler ADC és Gateway eszköz érhető el továbbra is frissítetlenül egy súlyos sebezhetőség ellen, amelyet széles körben kihasználnak a támadók. Az augusztus óta kihasznált CVE-2023-4966 zero-day sebezhetőségre (9.4 CVSS érték) most már “Citrix Bleed”-ként hivatkoznak a szakemberek. A sebezhetőség lehetővé teszi a támadóknak, hogy hitelesítés nélkül érzékeny információkat szivárogtassanak ki az eszközökről, amelyek AAA virtuális szerverként vagy gateway-ként vannak használatban.

A Citrix október 10-én kiadott javításokat a hibára, és ismét figyelmezteti a felhasználókat, hogy a támadók aktívan kihasználják a sebezhetőséget, ami lehetővé teszi számukra az azonosítás teljes megkerülését ─ beleértve a többtényezős hitelesítési védelmet is.

A tömeges kihasználás azzal indult, hogy az Assetnote közzétette a sebezhetőség technikai leírását és egy hozzá tartozó PoC-t is. Egyes biztonsági kutatók szerint azonban a tömeges kihasználás nem feltétlenül a PoC közzétételére reagálva indult el, mivel több csoport már korábban is hozzáférhető technikai részleteket szerezhetett.

A sebezhetőség kihasználásával a támadók hozzáférést szereznek a NetScaler ADC és Gateway eszközök memóriájához, amely lehetővé teszi számukra a munkamenet sütik kinyerését és az azonosítás megkerülését. Ez azt jelenti, hogy még a frissített példányok is veszélyeztetettek lehetnek, mivel a munkamenet token-ek a memóriában maradnak. A kompromittált sütik lehetővé teszik a támadók számára a munkamenetek újbóli lejátszását az azonosítás céljából. Csak be kell ütniük az ‘aaaaaaaaaaaaaaaaaaaaaaaa’ karaktereket, amíg be nem jutnak.

A kompromittált süti utólagos azonosítás után kerül kiadásra, amely magában foglalhat több tényezős hitelesítési ellenőrzéseket is. Egy támadó, aki hozzáfér egy érvényes sütihez, hiteles munkamenetet hozhat létre a NetScaler eszközön anélkül, hogy ismerné a felhasználónevet, a jelszót vagy hozzáférése lenne egy több tényezős hitelesítési tokennel vagy eszközzel.

November 1-jén a Greynoise adatai szerint az utóbbi 10 napban 158 egyedi IP-cím sebezhető. Körülbelül a NetScaler ügyfelek fele még nem alkalmazta a javításokat, ideértve a telekommunikációt, az elektromos áramot, az élelmiszeripart és a kormányzati szervezeteket is.

A Citrix kiemelte, a probléma teljes megoldásához a szervezeteknek fel kell telepíteniük a rendelkezésre álló javításokat, majd le kell állítaniuk az aktív és tartós munkameneteket, ezeken túlmenően nincsenek ismert megoldások vagy enyhítő intézkedések.

“Akik érintett verziót használnak, azt javasoljuk, hogy azonnal telepítsék a javasolt frissítéseket, mivel ezt a sebezhetőséget kritikusnak azonosítottuk. Tudomásunk van arról, hogy a támadók aktívan kihasználják a sebezhetőséget” – közölte a technológiai óriás.

Kedden a Mandiant közölte, hogy jelenleg négy fenyegető szereplőt követ nyomon, akik aktívan célozzák a CVE-2023-4966-ot, kompromittálják a NetScaler szervereket, és különböző utólagos kihasználási tevékenységeket végeznek. A támadók különböző eszközöket telepítettek kémkedésre és hitelesítési adatok ellopására, távoli megfigyelés és kezelés (RMM) eszközöket tartós hozzáféréshez, egy “FreeFire” nevű backdoor-t, “living-off-the-land” binárisokat és eszközöket a hálózaton való terjeszkedéshez. Mivel a NetScaler nem naplózza a hibával kapcsolatos kéréseket, a szervezetek vadászhatnak kihasználási kísérletekre a “webalkalmazás-tűzfalak (WAF) vagy más hálózati eszközök” használatával, amelyek rögzítik a NetScaler ADC vagy Gateway eszközökre irányuló HTTP/S kéréseket.

A kibervédelmi cég részletes utasításokat adott ki arról, hogy a szervezetek hogyan találhatnak bizonyítékot a munkamenet-átvételre, valamint a keresőkre vonatkozó kompromisszum-indikátorokat (IoCs) az elemzők segítésére.

A Mandiant észlelt támadásokat a kormányzat, a jog és a szakmai szolgáltatások, valamint a technológiai szervezetek ellen az Amerikai, az EMEA és az APAC régiókban.

(securityweek.com)

Vonatkozó sérülékenység learás az NBSZ NKI weboldalán:

CVE-2023-4966