Днес Citrix предупреждава клиентите си за уязвимост с критична сериозност (CVE-2023-3519) в NetScaler ADC и NetScaler Gateway, която вече има експлойти в дивата природа, и „настоятелно призовава“ да инсталират незабавно актуализирани версии.

Проблемът със сигурността може да е същият, който беше обявен по-рано този месец в хакерски форум като уязвимост от нулев ден.

Задължителна кръпка

Бившите Citrix ADC и Citrix Gateway, двата продукта на NetScaler получиха днес нови версии, за да смекчат набор от три уязвимости.

Най-сериозният от тях получи оценка 9,8 от 10 и се проследява като CVE-2023-3519. Нападателят може да се възползва от нея, за да изпълни код от разстояние без удостоверяване.

За да могат хакерите да използват проблема със сигурността при атаки, уязвимото устройство трябва да е конфигурирано като шлюз (VPN виртуален сървър, ICA Proxy, CVPN, RDP Proxy) или като виртуален сървър за удостоверяване (т.нар. AAA сървър).

В днешния бюлетин по сигурността Citrix казва, че „са наблюдавани експлойти на CVE-2023-3519 на немитирани устройства“ и настоятелно съветва клиентите си да преминат към актуализирана версия, която отстранява проблема:

• NetScaler ADC and NetScaler Gateway 13.1-49.13 и по – късни версии
• NetScaler ADC and NetScaler Gateway 13.0-91.13 и по – късни версии
• NetScaler ADC 13.1-FIPS 13.1-37.159 и по – късни версии
• NetScaler ADC 12.1-FIPS 12.1-65.36 и по – късни версии
• NetScaler ADC 12.1-NDcPP 12.1-65.36 и по – късни версии

Citrix 0day на хакерски форум

През първата седмица на юли някой е обявил в хакерски форум уязвимост от типа „нулев ден“ за Citrix ADC. Подробностите са твърде малко, за да се свърже категорично с днешния бюлетин за сигурност на Citrix, но малкото налични улики изглежда сочат към нея.

На 6 юли авторът на публикацията заяви, че разполага с нулев ден за изпълнение на отдалечен код, за който се твърди, че работи за версии на Citrix ADC до 13.1 build 48.47.

Защитниците, които знаят за проблема, заявиха, че очакват активните експлойти да продължат, докато Citrix не пусне поправка.

Организациите могат да започнат да проучват дали са били компрометирани, като търсят уеб обвивки, които са по-нови от датата на последната инсталация.

HTTP регистрите на грешките също могат да разкрият аномалии, които биха могли да показват първоначална експлоатация. Администраторите могат също така да проверяват логовете на шеловете за необичайни команди, които може да се използват във фазата след експлоатирането.

XSS и повишаване на привилегиите

Актуализациите включват и поправки за две други уязвимости, идентифицирани като CVE-2023-3466 и CVE-2023-3467. И двете са с висока оценка на сериозността, съответно 8,3 и 8.

CVE-2023-3466 е отразен проблем с кръстосано писане на сайтове (XSS), който може да бъде използван, ако жертвата зареди в браузъра връзка от нападател и уязвимото устройство е достъпно от същата мрежа.

Citrix изброява CVE-2023-3467 като уязвимост, която позволява на нападателя да повиши привилегиите си до тези на администратор root (nsroot).

Използването на този недостатък изисква удостоверен достъп до IP адреса на NetScaler устройствата (NSIP) или до IP адреса на подмрежата (SNIP) с достъп до интерфейса за управление.