Blog

CVE-2023-3519: Nuevo 0day crítico para Citrix ADC y Citrix Gateway (Unauth RCE)

■ Contexto:

Este martes 18 de Julio, Citrix publicó un boletín de seguridad advirtiendo a los usuarios sobre tres nuevas vulnerabilidades que afectan a Citrix NetScaler y Citrix Gateway. De las tres vulnerabilidades, CVE-2023-3519 es la más grave, ya que la explotación exitosa permite a un atacante no autenticado ejecutar código de forma remota en sistemas vulnerables que estén configurados como Gateway.

Citrix ha confirmado la explotación activa de CVE-2023-3519.

Para dimensionar el impacto, desde Internet se pueden identificar alrededor de 57,980 instancias expuestas, para Iberoamérica se muestran cerca de 1.915 instancias potencialmente vulnerables.

Actualización (24-07-2023): CronUp tuvo acceso a una instancia Citrix Gateway VPN comprometida donde se evidencia explotación desde el 07 de Julio, 11 antes del parche oficial.

Webshell o backdoor en el sistema de archivos.
Código fuente de la Webshell.
Archivo de configuración exfiltrado por los atacantes.
Al subir la Webshell a VirusTotal, el resultado fue de 0 detecciones.

■ Descripción: 

🔥 CVE-2023-3466: Es una vulnerabilidad de XSS reflejado, la explotación exitosa requiere que la víctima acceda a un enlace controlado por el atacante en el navegador mientras está en una red con conectividad a Netscaler IP (NSIP).

🔥 CVE-2023-3467: Permite la escalada de privilegios a administrador root (nsroot).

🔥 CVE-2023-3519: Permite la ejecución de código remoto no autenticado, se debe tener en cuenta, que el dispositivo debe estar configurado como puerta de enlace o Gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP o servidor virtual AAA).

■ Productos Afectados

  • NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.13
  • NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-91.13
  • NetScaler ADC 13.1-FIPS anterior a 13.1-37.159
  • NetScaler ADC 12.1-FIPS antes de 12.1-65.36
  • NetScaler ADC 12.1-NDcPP antes de 12.65.36

El aviso señala que NetScaler ADC y NetScaler Gateway versión 12.1 están al final de su vida útil (EOL) y son vulnerables. Citrix recomienda que los clientes que usan una versión EOL actualicen sus dispositivos a una de las versiones fijas admitidas a continuación.

Los tres CVE se corrigen en las siguientes versiones de productos fijos :

  • NetScaler ADC y NetScaler Gateway 13.1-49.13 y versiones posteriores
  • NetScaler ADC y NetScaler Gateway 13.0-91.13 y versiones posteriores de 13.0
  • NetScaler ADC 13.1-FIPS 13.1-37.159 y versiones posteriores de 13.1-FIPS
  • NetScaler ADC 12.1-FIPS 12.1-65.36 y versiones posteriores de 12.1-FIPS
  • NetScaler ADC 12.1-NDcPP 12.1-65.36 y versiones posteriores de 12.1-NDcPP

■ Guía de Mitigación

Los parches están disponibles para versiones vulnerables de NetScaler ADC y NetScaler Gateway y deben aplicarse en caso de emergencia. Para obtener más información, consulte la alerta de seguridad de Citrix.

■ Indicadores de Compromiso
Las siguientes IPs fueron vistas en ataques en relación a estas vulnerabilidades

  • 216.41.162.172
  • 216.51.171.17

Webshells

  • info.php 3a591015136412c77afe251a5ad545980afd95426ba254bad595d9ee525f881a
  • logout.php 293fe23849cffb460e8d28691c640a5292fd4649b0f94a019b45cc586be83fd9

■ Recomendaciones de Seguridad

  • Realice una evaluación de compromiso de los dispositivos Citrix, incluso después de la instalación de los parches y actualizaciones de seguridad (puede utilizar el Checklist de Deyda y la información compartida por CISA).
  • Restrinja el acceso desde Internet, solo permita paises y/o IPs válidas.
  • Bloquee el tráfico de entrada y salida para redes TOR.
  • Habilite 2FA o MFA para todos los accesos VPN.

■ Referencias


Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required