Vulnerabilidad crítica en productos CITRIX

La explotación activa de una vulnerabilidad crítica, conocida como CVE-2023-4966 con puntuación CVSS de 9.4 afecta dispositivos Citrix NetScaler ADC/Gateway.

Esta vulnerabilidad, que involucra la divulgación de información, permite a los atacantes acceder a información confidencial en dispositivos configurados como puertas de enlace de servidores virtuales de autenticación, autorización y contabilidad (AAA).

Según un informe de Mandiant, se encontraron indicios de que CVE-2023-4966 ha sido explotada de forma activa desde agosto para robar sesiones de autenticación y tomar control de cuentas.

Mandiant advierte que incluso después de instalar la actualización de seguridad, las sesiones secuestradas perduran. Dependiendo de los privilegios de la cuenta comprometida, los atacantes pueden utilizar este método para moverse lateralmente o acceder a más cuentas. Además, los investigadores notaron que CVE-2023-4966 se utilizó para acceder a sistemas pertenecientes a organizaciones gubernamentales y empresas de tecnología.

Productos y versiones afectadas

  • NetScaler ADC y NetScaler Gateway 14.1 anteriores a 14.1-8.50
  • NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.15
  • NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-92.19
  • NetScaler ADC 13.1-FIPS anterior a 13.1-37.164
  • NetScaler ADC 12.1-FIPS anterior a 12.1-55.300
  • NetScaler ADC 12.1-NDcPP anterior a 12.1-55.300

Solución

Actualizar a las siguientes versiones:

  • NetScaler ADC y NetScaler Gateway 14.1-8.50 y posteriores.
  • NetScaler ADC y NetScaler Gateway 13.1-49.15 y versiones posteriores de 13.1.
  • NetScaler ADC y NetScaler Gateway 13.0-92.19 y versiones posteriores de 13.0.
  • NetScaler ADC 13.1-FIPS 13.1-37.164 y versiones posteriores de 13.1-FIPS.
  • NetScaler ADC 12.1-FIPS 12.1-55.300 y versiones posteriores de 12.1-FIPS. 
  • NetScaler ADC 12.1-NDcPP 12.1-55.300 y versiones posteriores de 12.1-NdcPP.

Recomendaciones

  1. En caso de que no sea posible aplicar los parches de inmediato, restrinja el acceso a las direcciones IP entrantes.
  2. Después de la actualización, cierre todas las sesiones y ejecute el comando CLI: clear lb persistenteSessions <vServer>.
  3. Cambie las credenciales de las identidades que tengan acceso a dispositivos vulnerables.
  4. Si se detecta actividad sospechosa, especialmente con la autenticación de un solo factor, cambie un conjunto más amplio de credenciales.
  5. Si se encuentran shells web o puertas traseras, reconstruya los dispositivos utilizando la imagen de origen más reciente y limpia.
  6. En caso de restaurar desde una copia de seguridad, asegúrese de que la configuración de la copia de seguridad no contenga puertas traseras.
  7. Reduzca la exposición a ataques externos restringiendo el acceso solo a direcciones IP confiables.

Referencias