■ Contexto:
Este martes 18 de Julio, Citrix publicó un boletín de seguridad advirtiendo a los usuarios sobre tres nuevas vulnerabilidades que afectan a Citrix NetScaler y Citrix Gateway. De las tres vulnerabilidades, CVE-2023-3519 es la más grave, ya que la explotación exitosa permite a un atacante no autenticado ejecutar código de forma remota en sistemas vulnerables que estén configurados como Gateway.
Citrix ha confirmado la explotación activa de CVE-2023-3519.
Para dimensionar el impacto, desde Internet se pueden identificar alrededor de 57,980 instancias expuestas, para Iberoamérica se muestran cerca de 1.915 instancias potencialmente vulnerables.
Actualización (24-07-2023): CronUp tuvo acceso a una instancia Citrix Gateway VPN comprometida donde se evidencia explotación desde el 07 de Julio, 11 antes del parche oficial.
■ Descripción:
🔥 CVE-2023-3466: Es una vulnerabilidad de XSS reflejado, la explotación exitosa requiere que la víctima acceda a un enlace controlado por el atacante en el navegador mientras está en una red con conectividad a Netscaler IP (NSIP).
🔥 CVE-2023-3467: Permite la escalada de privilegios a administrador root (nsroot).
🔥 CVE-2023-3519: Permite la ejecución de código remoto no autenticado, se debe tener en cuenta, que el dispositivo debe estar configurado como puerta de enlace o Gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP o servidor virtual AAA).
■ Productos Afectados
- NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.13
- NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-91.13
- NetScaler ADC 13.1-FIPS anterior a 13.1-37.159
- NetScaler ADC 12.1-FIPS antes de 12.1-65.36
- NetScaler ADC 12.1-NDcPP antes de 12.65.36
El aviso señala que NetScaler ADC y NetScaler Gateway versión 12.1 están al final de su vida útil (EOL) y son vulnerables. Citrix recomienda que los clientes que usan una versión EOL actualicen sus dispositivos a una de las versiones fijas admitidas a continuación.
Los tres CVE se corrigen en las siguientes versiones de productos fijos :
- NetScaler ADC y NetScaler Gateway 13.1-49.13 y versiones posteriores
- NetScaler ADC y NetScaler Gateway 13.0-91.13 y versiones posteriores de 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.159 y versiones posteriores de 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-65.36 y versiones posteriores de 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-65.36 y versiones posteriores de 12.1-NDcPP
■ Guía de Mitigación
Los parches están disponibles para versiones vulnerables de NetScaler ADC y NetScaler Gateway y deben aplicarse en caso de emergencia. Para obtener más información, consulte la alerta de seguridad de Citrix.
■ Indicadores de Compromiso
Las siguientes IPs fueron vistas en ataques en relación a estas vulnerabilidades
- 216.41.162.172
- 216.51.171.17
Webshells
- info.php 3a591015136412c77afe251a5ad545980afd95426ba254bad595d9ee525f881a
- logout.php 293fe23849cffb460e8d28691c640a5292fd4649b0f94a019b45cc586be83fd9
■ Recomendaciones de Seguridad
- Realice una evaluación de compromiso de los dispositivos Citrix, incluso después de la instalación de los parches y actualizaciones de seguridad (puede utilizar el Checklist de Deyda y la información compartida por CISA).
- Restrinja el acceso desde Internet, solo permita paises y/o IPs válidas.
- Bloquee el tráfico de entrada y salida para redes TOR.
- Habilite 2FA o MFA para todos los accesos VPN.
■ Referencias
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a
- https://www.mandiant.com/resources/blog/citrix-zero-day-espionage
- https://blog.assetnote.io/2023/07/24/citrix-rce-part-2-cve-2023-3519/
- https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/
- https://attackerkb.com/topics/si09VNJhHh/cve-2023-3519
- https://www.rapid7.com/blog/post/2023/07/18/etr-critical-zero-day-vulnerability-in-citrix-netscaler-adc-and-netscaler-gateway/
- https://github.com/telekom-security/cve-2023-3519-citrix-scanner
- https://www.cisa.gov/news-events/alerts/2023/07/19/cisa-adds-one-known-exploited-vulnerability-catalog
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
