Μια κρίσιμη ευπάθεια, γνωστή ως CVE-2023-4966, που έχει εντοπιστεί σε συσκευές Citrix NetScaler ADC/Gateway, φαίνεται πως χρησιμοποιούνταν ως zero-day από τα τέλη Αυγούστου.
Η συγκεκριμένη ευπάθεια διορθώθηκε την περασμένη εβδομάδα. Επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση σε μυστικά, σε συσκευές που έχουν διαμορφωθεί ως πύλες ελέγχου ταυτότητας, εξουσιοδότησης και accounting (AAA) virtual servers.
Η Citrix δημοσίευσε ένα δελτίο ασφαλείας στις 10 Οκτωβρίου, το οποίο περιείχε λίγες τεχνικές λεπτομέρειες. Εκεί συνιστούσε την άμεση εγκατάσταση της πιο πρόσφατης ενημέρωσης.
Δείτε επίσης: Signal: Δεν υπάρχουν αποδείξεις για την ευπάθεια zero-day
Μια πρόσφατη αναφορά από τη Mandiant αποκάλυψε ότι εντοπίστηκαν σημάδια εκμετάλλευσης της ευπάθειας Citrix NetScaler, CVE-2023-4966, από τον Αύγουστο, για κλοπή authentication sessions και κλοπή λογαριασμών.
“Η Mandiant εντόπισε zero-day exploitation αυτής της ευπάθεια, από τα τέλη Αυγούστου 2023“, λέει η εταιρεία κυβερνοασφάλειας.
Σύμφωνα με την εταιρεία, η επιτυχής εκμετάλλευση θα μπορούσε να οδηγήσει στην παραβίαση υπαρχόντων authenticated sessions, παρακάμπτοντας τον έλεγχο ταυτότητας πολλαπλών παραγόντων ή άλλες ισχυρές απαιτήσεις ελέγχου ταυτότητας.
Η εταιρεία προειδοποιεί ότι τα παραβιασμένα sessions παραμένουν ακόμη και μετά την εγκατάσταση της ενημέρωσης ασφαλείας. Ανάλογα με τα δικαιώματα του παραβιασμένου λογαριασμού, οι εισβολείς μπορούν να αξιοποιήσουν τη μέθοδο για να μετακινηθούν laterally ή να παραβιάσουν περισσότερους λογαριασμούς.
Ερευνητές ασφαλείας παρατήρησαν ότι οι hackers χρησιμοποίησαν το CVE-2023-4966 για πρόσβαση σε υποδομές που ανήκουν σε κυβερνητικούς οργανισμούς και εταιρείες τεχνολογίας.
Δείτε επίσης: Apple: Επιδιορθώνει zero-day του iOS Kernel σε παλαιότερα μοντέλα iPhone
Citrix NetScaler: Διόρθωση zero-day ευπάθειας
Εκτός από την εφαρμογή της ενημέρωσης της Citrix, η Mandiant πρότεινε και κάποια άλλα μέτρα προστασίας για τους διαχειριστές NetScaler ADC/Gateway:
- Περιορίστε ingress IP διευθύνσεις εάν δεν είναι εφικτή η άμεση εφαρμογή της ενημέρωσης.
- Τερματίστε όλα τα sessions post-upgrade και εκτελέστε την εντολή CLI: clear lb persistentSessions <vServer>.
- Κάντε rotate τα credentials για ταυτότητες που έχουν πρόσβαση σε ευάλωτες συσκευές.
- Αν εντοπίσετε web shells ή backdoors, ανακατασκευάστε τις συσκευές με το πιο πρόσφατο clean-source image.
- Εάν γίνεται επαναφορά από αντίγραφα ασφαλείας, βεβαιωθείτε ότι δεν υπάρχουν backdoors στο backup configuration.
- Περιορίστε την έκθεση σε εξωτερικές επιθέσεις περιορίζοντας το ingress σε αξιόπιστες IP.
Επίσης, είναι απαραίτητη η άμεση αναβάθμιση στις ακόλουθες εκδόσεις firmware:
- NetScaler ADC και NetScaler Gateway 14.1-8.50 και νεότερη έκδοση
- NetScaler ADC και NetScaler Gateway 13.1-49.15 και νεότερες εκδόσεις της 13.1
- NetScaler ADC και NetScaler Gateway 13.0-92.19 και νεότερες εκδόσεις της 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.164 και νεότερες εκδόσεις της 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.300 και νεότερες εκδόσεις της 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.300 και νεότερες εκδόσεις της 12.1-NdcPP
Δείτε επίσης: HTTP/2 Rapid Reset: Νέα επίθεση DDoS εκμεταλλεύεται ως zero-day
Zero-day ευπάθειες
Οι zero-day ευπάθειες είναι πολύ επικίνδυνες, γι’ αυτό το λόγο πρέπει να λαμβάνονται μέτρα προστασίας. Ένας από τους πιο απλούς και αποτελεσματικότερους τρόπους για να μειώσετε τον κίνδυνο παραβίασης, μέσω ευπαθειών, είναι η τακτική ενημέρωση των συστημάτων. Με την κυκλοφορία κάθε νέας ενημέρωσης, οι κατασκευαστές διορθώνουν προβλήματα και ευπάθειες που έχουν εντοπίσει. Δεδομένου ότι μια zero-day ευπάθεια έχει χρησιμοποιηθεί ή αποκαλυφθεί πριν την κυκλοφορία μιας ενημέρωσης, είναι απαραίτητη η εφαρμογή του patch αμέσως μόλις γίνει διαθέσιμο.
Συμπερασματικά, οι zero-day ευπάθειες είναι μια αυξανόμενη απειλή στο ψηφιακό τοπίο. Οι οργανισμοί πρέπει να είναι πάντα ένα βήμα μπροστά, υιοθετώντας μια δυναμική στάση για την ασφάλειά τους και μειώνοντας τον κίνδυνο χρήσης ευπαθειών.
Πηγή: www.bleepingcomputer.com
