Mandiant, una compañía especializada en seguridad informática ha desarrollado un escáner para determinar si los dispositivos Citrix NetScaler Application Delivery Controller (ADC) o NetScaler Gateway Appliance han sido afectados por ataques masivos que explotan la vulnerabilidad CVE-2023-3519. Esta vulnerabilidad crítica, identificada en julio de 2023 como un ataque de día cero, permitió a los hackers ejecutar código de forma remota en dispositivos sin autenticación.
El Mandiant Citrix IOC Scanner debe ser ejecutado directamente en un dispositivo, ya que examina tanto el sistema de archivos local como los archivos de configuración para identificar la presencia de diversos Indicadores de Compromiso (IOC). Es fundamental tener en consideración que el escáner no logrará detectar un compromiso en la totalidad de las ocasiones y tampoco proporcionará información acerca de si un dispositivo es susceptible de ser explotado.
La herramienta debe ser ejecutada de manera directa en un dispositivo o en una imagen forense montada, ya que realizará un escaneo en el sistema de archivos local y en los archivos de configuración para identificar la existencia de múltiples Indicadores de Compromiso (IOC). Al finalizar el proceso, se presentará un resumen que detalla si se han encontrado señales de una posible vulneración, como se puede observar en la imagen siguiente.
En caso de identificar un compromiso en el dispositivo, el escáner exhibirá un informe completo que lista los distintos signos de vulneración que han sido detectados.
Productos y versiones afectadas
La vulnerabilidad CVE-2023-3519 podría ser explotada en las versiones siguientes:
- NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.13
- NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-91.13
- NetScaler ADC 13.1-FIPS anterior a 13.1-37.159
- NetScaler ADC 12.1-FIPS anterior a 12.1-55.297
- NetScaler ADC 12.1-NDcPP anterior a 12.1-55.297
Recomendaciones
- Es importante tomar en cuenta, que el escáner fue creado específicamente para ser utilizado con las versiones 12.0, 12.1, 13.0 y 13.1 de NetScaler ADC y NetScaler Gateway.
- Las versiones 12.1 de NetScaler ADC y NetScaler Gateway han alcanzado su fin de vida útil. Se recomienda a los usuarios que actualicen sus dispositivos a una de las versiones compatibles que resuelven las vulnerabilidades. Las puede encontrar en el sitio oficial del proveedor.
Referencias
- https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
- https://www.bleepingcomputer.com/news/security/new-cve-2023-3519-scanner-detects-hacked-citrix-adc-gateway-devices/
- https://www.tarlogic.com/es/blog/cve-2023-3519-vulnerabilidad-citrix-netscaler/
- https://www.helpnetsecurity.com/2023/08/16/cve-2023-32560/
- https://github.com/mandiant/citrix-ioc-scanner-cve-2023-3519
- https://nvd.nist.gov/vuln/detail/CVE-2023-3519