Una vulnerabilità critica identificata come CVE-2023-4966 nei dispositivi Citrix NetScaler ADC/Gateway è stata attivamente sfruttata come zero-day dalla fine di agosto, come annunciato dai ricercatori di sicurezza. Questo problema di sicurezza riguarda la divulgazione di informazioni e ha ricevuto una correzione la scorsa settimana. Permette agli aggressori di accedere ai segreti negli apparecchi configurati come gateway per l’autenticazione, l’autorizzazione e la contabilizzazione (AAA) dei server virtuali.
Citrix esorta i clienti ad aggiornare
In un bollettino di sicurezza del 10 ottobre, con pochi dettagli tecnici, Citrix ha fortemente esortato i clienti a installare l’aggiornamento disponibile senza indugi. Un rapporto di Mandiant ha rivelato che ha trovato segni dell’exploit di CVE-2023-4966 in natura da agosto per rubare sessioni di autenticazione e dirottare account.
Implicazioni dell’exploit
“Mandiant ha identificato lo sfruttamento zero-day di questa vulnerabilità in natura a partire dalla fine di agosto 2023”, afferma l’azienda di cybersecurity. “Un exploit di successo potrebbe risultare nella capacità di dirottare sessioni autenticate esistenti, bypassando quindi l’autenticazione multifattore o altri requisiti di autenticazione forte”, aggiunge Mandiant. L’azienda avverte anche che le sessioni dirottate persistono anche dopo aver installato l’aggiornamento di sicurezza. A seconda dei permessi dell’account dirottato, gli aggressori potrebbero sfruttare il metodo per spostarsi lateralmente o per violare ulteriori account.
Raccomandazioni per la mitigazione
Oltre all’applicazione della patch da Citrix, Mandiant ha pubblicato un documento con ulteriori raccomandazioni di rimedio per gli amministratori di NetScaler ADC/Gateway. Queste includono la restrizione degli indirizzi IP di ingresso, la terminazione di tutte le sessioni dopo l’aggiornamento, la rotazione delle credenziali e la limitazione dell’esposizione agli attacchi esterni.
Storia delle vulnerabilità di Citrix
Questo è il secondo difetto zero-day che Citrix corregge nei suoi prodotti quest’anno. Un precedente, identificato come CVE-2023-3519, è stato sfruttato in natura all’inizio di luglio e ha ricevuto una correzione poche settimane dopo.