Agências governamentais australianas e norte-americanas e a Citrix emitiram esta semana novos alertas sobre a exploração de uma vulnerabilidade crítica do produto NetScaler.
Rastreado como CVE-2023-4966 (pontuação CVSS de 9,4) e conhecido como CitrixBleed, o bug não autenticado leva à divulgação de informações. Ele afeta os dispositivos Netscaler ADC e Gateway configurados como um gateway ou um servidor AAA.
Remendada em outubro, a falha foi explorada como dia zero desde agosto, e a exploração em massa começou há cerca de três semanas, na mesma época em que uma exploração de prova de conceito (PoC) e um artigo técnico foram publicados.
No final de outubro, a gigante tecnológica alertou que os agentes da ameaça estavam a explorar o problema para realizar o sequestro de sessões, ignorando completamente a autenticação, incluindo as proteções MFA.
Na segunda-feira, Citrix pediu administradores apliquem os patches disponíveis o mais rápido possível, citando “um aumento acentuado nas tentativas de explorar esta vulnerabilidade em NetScaler ADCs não corrigidos” e relata que a gangue de ransomware LockBit começou a explorá-la.
Um alerta sobre o LockBit direcionado ao CitrixBleed também veio da agência de segurança cibernética dos EUA CISA, do FBI, do Centro Multiestatal de Compartilhamento e Análise de Informações (MS-ISAC) e do Centro Australiano de Segurança Cibernética (ACSC), na terça-feira.
“Historicamente, as afiliadas da LockBit conduziram ataques contra organizações de tamanhos variados em vários setores de infraestrutura crítica – incluindo educação, energia, serviços financeiros, alimentação e agricultura, serviços governamentais e de emergência, saúde, manufatura e transporte”, alertam as agências governamentais.
A LockBit, dizem as quatro agências, explorou o CitrixBleed para obter acesso inicial à Boeing Distribution Inc., subsidiária de peças e distribuição da gigante aeronáutica Boeing.
Armados com cookies válidos obtidos através da exploração do CVE-2023-4966, as afiliadas da LockBit estabeleceram então uma sessão autenticada com o dispositivo, o que lhes permitiu executar um script PowerShell para implantação de malware.
“Através do controle de sessões legítimas de usuários, atores mal-intencionados adquirem permissões elevadas para coletar credenciais, mover-se lateralmente e acessar dados e recursos”, observam as agências.
Em seu alerta, CISA, FBI, MS-ISAC e ACSC fornecem uma lista de indicadores de comprometimento (IoCs) associados ao ataque LockBit à Boeing, recomendando a busca por evidências de comprometimento e pedindo correção imediata.
Os administradores são aconselhados a atualizar para o NetScaler ADC e Gateway versões 14.1-8.50, 13.1-49.15, 13.0-92.19 e NetScaler ADC 13.1-FIPS 13.1-37.164, 12.1-FIPS 12.1-55.300 e 12.1-NDcPP 12.1-55.300 , qual endereço a vulnerabilidade.
Após a atualização, eles devem remover quaisquer sessões ativas ou persistentes, para garantir que a falha seja totalmente mitigada – a Citrix forneceu informação detalhada sobre como isso pode ser feito. Como os cookies de sessão persistem na memória, os agentes da ameaça podem recuperá-los mesmo após a atualização.
