Se insta a los usuarios de Citrix NetScaler a realizar un nuevo parche de día cero con carácter de urgencia
Una vulnerabilidad de día cero en Citrix NetScaler Application Delivery Controller (ADC) y Citrix NetScaler Gateway parece ser explotada por un actor de amenazas persistentes avanzadas (APT) no especificado respaldado por el gobierno chino y debe abordarse de inmediato.
Según el aviso inicial de Citrix, publicado el martes 18 de julio, las tres vulnerabilidades parcheadas por Citrix afectan a varias versiones de las líneas de productos NetScaler ADC (anteriormente Citrix ADC) y NetScaler Gateway (anteriormente Citrix Gateway).
Se rastrean como CVE-2023-3466, un error de secuencias de comandos entre sitios reflejado; CVE-2023-3467, una vulnerabilidad de escalada de privilegios; y CVE-2023-3519, un error de ejecución remota de código (RCE) no autenticado.
Preocupa la vulnerabilidad RCE CVE-2023-3519, que tiene una puntuación CVSS de 9,8. Esta falla se agregó a la lista de vulnerabilidades conocidas explotadas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el 20 de julio.
La inclusión de una vulnerabilidad en la lista de KEV requiere que las agencias gubernamentales de EE. UU. la solucionen en una fecha específica. Más allá de eso, no tiene sentido, pero la inclusión en esta lista es una señal segura de que todas las organizaciones deben prestar atención.
Según CISA, el actor de amenazas explotó CVE-2023-3519 para colocar un webshell en un dispositivo NetScaler ADC que no es de producción propiedad de un operador de Infraestructura Nacional Crítica (CNI).
La vulnerabilidad RCE CVE-2023-3519 tiene una puntuación CVSS de 9,8 y se agregó a la lista de vulnerabilidades explotadas conocidas de CISA de EE. UU. el 20 de julio. Estar en esta lista es una señal segura de que se debe prestar atención a todas las organizaciones.
Usando este webshell, el actor intentó realizar acciones de detección en el Active Directory (AD) de la víctima y extraer datos de él. Luego intentaron cambiar lateralmente a un controlador de dominio, pero en este caso se vieron frustrados cuando se activaron los controles de segmentación de la red del dispositivo.
En este caso, la organización víctima pudo identificar rápidamente el compromiso e informar adecuadamente el incidente tanto a CISA como a Citrix.
Al evaluar el impacto de CVE-2023-3519, los investigadores de Mandiant, que desempeñaron un papel clave en la investigación inicial, dijeron que los dispositivos ADC representan un objetivo tentador dado su uso predominante en el sector de TI y un componente crítico de los centros de datos empresariales en la nube cuando se trata de garantizar la entrega óptima de aplicaciones empresariales.
Sin embargo, el equipo de analistas, formado por James Nugent, Foti Castelan, Doug Bienstock, Justin Moore y Josh Murchie, escribió que los actores de amenazas chinos a menudo apuntan a dispositivos ubicados en el borde de la red porque son más difíciles de monitorear y muy a menudo no admiten soluciones de detección de intrusos.
«Mandiant no puede correlacionar esta actividad en función de la evidencia recopilada hasta la fecha», escribió el equipo. «Sin embargo, este tipo de actividad es consistente con operaciones anteriores de actores de China Nexus basadas en capacidades y acciones conocidas contra Citrix ADC en 2022».
«La evolución del panorama de amenazas cibernéticas de China Nexus ha evolucionado hasta el punto en que su ecosistema se parece más al de los grupos de delitos financieros, con conexiones y superposición de códigos que no necesariamente brindan una imagen completa».
Además de aplicar el parche, Mandiant también recomienda que los dispositivos afectados se restauren de inmediato si se descubre que han sido explotados. Este proceso de actualización sobrescribe algunos directorios, pero no todos, donde los actores de amenazas podrían colocar webshells.
Los equipos de seguridad también pueden querer reevaluar si sus ADC o puertos de administración de dispositivos de puerta de enlace requieren acceso a Internet sin restricciones y restringir el acceso solo a las direcciones IP necesarias, lo que dificultaría las actividades posteriores a la explotación en el futuro.
Con base en otras tácticas, técnicas y procedimientos (TTP) detallados en el artículo de Mandiant, el equipo de investigación también recomienda que las organizaciones afectadas roten los secretos almacenados en el archivo de configuración, así como las claves privadas o los certificados que se pueden usar para las conexiones TLS (Seguridad de la capa de transporte).
También es posible que desee proteger las cuentas vulnerables en el dominio para protegerse contra la divulgación de credenciales y limitar la capacidad de un actor de amenazas para obtener credenciales para el movimiento lateral.
