Citrix advierte sobre la explotación de una falla de seguridad crítica recientemente revelada en los dispositivos NetScaler ADC y Gateway que podría resultar en la exposición de información confidencial.

La vulnerabilidad CVE-2023-4966, con una puntuación CVSS de 9.4, afecta a las siguientes versiones compatibles de NetScaler ADC y NetScaler Gateway:

• Para NetScaler ADC y NetScaler Gateway 14.1, todas las versiones anteriores a 14.1-8.50.
• Para NetScaler ADC y NetScaler Gateway 13.1, todas las versiones anteriores a 13.1-49.15.
• Para NetScaler ADC y NetScaler Gateway 13.0, todas las versiones anteriores a 13.0-92.19.
• Para NetScaler ADC 12.1 (que actualmente está al final de su vida útil).
• Para NetScaler ADC 13.1-FIPS, todas las versiones anteriores a 13.1-37.164.
• Para NetScaler ADC 12.1-FIPS, todas las versiones anteriores a 12.1-55.300.
• Para NetScaler ADC 12.1-NDcPP, todas las versiones anteriores a 12.1-55.300.

No obstante, para que ocurra la explotación, es necesario que el dispositivo esté configurado como servidor virtual de puerta de enlace (tales como servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o como servidor virtual de autorización y registro (AAA).

A pesar de que los parches para abordar la vulnerabilidad se lanzaron el 10 de octubre de 2023, Citrix actualizó la notificación para destacar que se han detectado vulnerabilidades relacionadas con CVE-2023-4966 en dispositivos que no han implementado medidas de mitigación.

Mandiant, una empresa que forma parte de Google, indicó en su propia alerta, publicada el martes, que detectó la explotación de una vulnerabilidad de día cero en un entorno no controlado a partir de finales de agosto de 2023.

La firma de inteligencia de amenazas afirmó que un ataque exitoso podría llevar a la posibilidad de tomar el control de sesiones de usuario autenticadas previamente, eludiendo de esta manera la autenticación multifactor y otros requisitos rigurosos de autenticación.

“Estas sesiones podrían permanecer activas incluso después de que se haya aplicado la actualización para reducir los riesgos de CVE-2023-4966”.

Mandiant también informó sobre un incidente de toma de sesiones en el cual los datos de la sesión fueron sustraídos antes de la aplicación del parche y luego empleados por un actor de amenazas no identificado.

“A partir del secuestro de una sesión autenticada, podría surgir la posibilidad de un acceso más amplio en función de los permisos y el nivel de acceso otorgado a la identidad o sesión en cuestión”, añadió.

“Un atacante podría emplear este enfoque para adquirir credenciales adicionales, moverse lateralmente y lograr acceso a recursos suplementarios dentro de un sistema o ambiente”.

Aunque no se ha identificado al responsable de los ataques, se ha informado que la campaña tuvo como objetivo a empresas de servicios profesionales, entidades tecnológicas y organizaciones gubernamentales.

Dado el uso continuo de esta vulnerabilidad y la atención que Citrix está atrayendo como objetivo para actores de amenazas, es crucial que los usuarios tomen de medidas inmediatas para actualizar sus sistemas a la versión más reciente y así reducir posibles riesgos de seguridad.

“Es importante que las empresas vayan más allá de la aplicación del parche y procedan a cerrar todas las sesiones activas”, destacó Charles Carmakal, CTO de Mandiant. “A pesar de que no se trata de una vulnerabilidad de ejecución remota de código, es esencial dar prioridad a la instalación de este parche debido a la existencia de ataques activos y la gravedad de la vulnerabilidad”.

Fuente:thehackernews