Több ezer Citrix NetScaler ADC és Gateway eszköz érhető el továbbra is frissítetlenül egy súlyos sebezhetőség ellen, amelyet széles körben kihasználnak a támadók. Az augusztus óta kihasznált CVE-2023-4966 zero-day sebezhetőségre (9.4 CVSS érték) most már “Citrix Bleed”-ként hivatkoznak a szakemberek. A sebezhetőség lehetővé teszi a támadóknak, hogy hitelesítés nélkül érzékeny információkat szivárogtassanak ki az eszközökről, amelyek AAA virtuális szerverként vagy gateway-ként vannak használatban.
A Citrix október 10-én kiadott javításokat a hibára, és ismét figyelmezteti a felhasználókat, hogy a támadók aktívan kihasználják a sebezhetőséget, ami lehetővé teszi számukra az azonosítás teljes megkerülését ─ beleértve a többtényezős hitelesítési védelmet is.
A tömeges kihasználás azzal indult, hogy az Assetnote közzétette a sebezhetőség technikai leírását és egy hozzá tartozó PoC-t is. Egyes biztonsági kutatók szerint azonban a tömeges kihasználás nem feltétlenül a PoC közzétételére reagálva indult el, mivel több csoport már korábban is hozzáférhető technikai részleteket szerezhetett.
A sebezhetőség kihasználásával a támadók hozzáférést szereznek a NetScaler ADC és Gateway eszközök memóriájához, amely lehetővé teszi számukra a munkamenet sütik kinyerését és az azonosítás megkerülését. Ez azt jelenti, hogy még a frissített példányok is veszélyeztetettek lehetnek, mivel a munkamenet token-ek a memóriában maradnak. A kompromittált sütik lehetővé teszik a támadók számára a munkamenetek újbóli lejátszását az azonosítás céljából. Csak be kell ütniük az ‘aaaaaaaaaaaaaaaaaaaaaaaa’ karaktereket, amíg be nem jutnak.
A kompromittált süti utólagos azonosítás után kerül kiadásra, amely magában foglalhat több tényezős hitelesítési ellenőrzéseket is. Egy támadó, aki hozzáfér egy érvényes sütihez, hiteles munkamenetet hozhat létre a NetScaler eszközön anélkül, hogy ismerné a felhasználónevet, a jelszót vagy hozzáférése lenne egy több tényezős hitelesítési tokennel vagy eszközzel.
November 1-jén a Greynoise adatai szerint az utóbbi 10 napban 158 egyedi IP-cím sebezhető. Körülbelül a NetScaler ügyfelek fele még nem alkalmazta a javításokat, ideértve a telekommunikációt, az elektromos áramot, az élelmiszeripart és a kormányzati szervezeteket is.
A Citrix kiemelte, a probléma teljes megoldásához a szervezeteknek fel kell telepíteniük a rendelkezésre álló javításokat, majd le kell állítaniuk az aktív és tartós munkameneteket, ezeken túlmenően nincsenek ismert megoldások vagy enyhítő intézkedések.
“Akik érintett verziót használnak, azt javasoljuk, hogy azonnal telepítsék a javasolt frissítéseket, mivel ezt a sebezhetőséget kritikusnak azonosítottuk. Tudomásunk van arról, hogy a támadók aktívan kihasználják a sebezhetőséget” – közölte a technológiai óriás.
Kedden a Mandiant közölte, hogy jelenleg négy fenyegető szereplőt követ nyomon, akik aktívan célozzák a CVE-2023-4966-ot, kompromittálják a NetScaler szervereket, és különböző utólagos kihasználási tevékenységeket végeznek. A támadók különböző eszközöket telepítettek kémkedésre és hitelesítési adatok ellopására, távoli megfigyelés és kezelés (RMM) eszközöket tartós hozzáféréshez, egy “FreeFire” nevű backdoor-t, “living-off-the-land” binárisokat és eszközöket a hálózaton való terjeszkedéshez. Mivel a NetScaler nem naplózza a hibával kapcsolatos kéréseket, a szervezetek vadászhatnak kihasználási kísérletekre a “webalkalmazás-tűzfalak (WAF) vagy más hálózati eszközök” használatával, amelyek rögzítik a NetScaler ADC vagy Gateway eszközökre irányuló HTTP/S kéréseket.
A kibervédelmi cég részletes utasításokat adott ki arról, hogy a szervezetek hogyan találhatnak bizonyítékot a munkamenet-átvételre, valamint a keresőkre vonatkozó kompromisszum-indikátorokat (IoCs) az elemzők segítésére.
A Mandiant észlelt támadásokat a kormányzat, a jog és a szakmai szolgáltatások, valamint a technológiai szervezetek ellen az Amerikai, az EMEA és az APAC régiókban.
