CVE-2023-4966 Erkennung: Kritische Citrix NetScaler Schwachstelle wird aktiv ausgenutzt
Inhaltsverzeichnis:
Ergänzend zu der Liste von kritischen Citrix NetScaler Zero-Dayswarnen Sicherheitsexperten vor einer neuen gefährlichen Schwachstelle (CVE-2023-4966), die trotz eines im Oktober herausgegebenen Patches weiterhin aktiv ausgenutzt wird. Diese als Informationsoffenlegungsschwachstelle markierte CVE-2023-4966 ermöglicht es Angreifern, bestehende authentifizierte Sitzungen zu kapern und möglicherweise eine Umgehung der Multifaktor-Authentifizierung (MFA) zu erreichen. Laut Sicherheitsexperten könnte das Patchen unzureichend sein, um eine Sicherheitslücke zu schließen, während alle aktiven Sitzungen nach der Installation des Updates beendet werden müssen. Die Schwachstelle erhielt die höchste Schweregradstufe und wurde von der CISA in den KEV-Katalog aufgenommen.
Erkennung von CVE-2023-4966 Ausnutzungen
Angesichts der anhaltenden Flut von Angriffen, die CVE-2023-4966 ausnutzen, und des komplexen Ansatzes, der zur Lösung des Problems erforderlich ist, benötigen Sicherheitsexperten eine zuverlässige Quelle für Erkennungsinhalte, um mögliche Eindringversuche frühzeitig zu identifizieren. Das SOC Prime Team hat eine spezielle Erkennungsregel entwickelt, um mögliche CVE-2023-4966 Ausnutzungsversuche zu identifizieren:
Möglicher Citrix CVE-2023-4966 Ausnutzungsversuch (über Webserver)
Die Regel ist mit 13 Sicherheitsanalyselösungen kompatibel und wird mit dem MITRE ATT&CK Frameworkverknüpft, indem die Taktiken des Initialen Zugangs mit der Exploit Public-Facing Application (T1190) als entsprechender Technik adressiert werden.
Erkunden Sie den umfassenderen Erkennungsstack, der auf die Erkennung neu auftretender CVEs abzielt, indem Sie auf die Schaltfläche Erkennungen erkunden klicken. Sicherheitsfachleute können tiefgehenden Kontext zu Cyber-Bedrohungen erhalten, begleitet von ATT&CK-Referenzen und CTI-Links, sowie umsetzbare Metadaten, die auf ihre organisationsspezifischen Bedürfnisse zugeschnitten sind, für eine nahtlose Bedrohungsforschung erhalten.
Analyse von CVE-2023-4966
Forscher haben kürzlich eine neuartige Zero-Day-Schwachstelle identifiziert, die als CVE-2023-4966 verfolgt wird und Citrix‘ NetScaler ADC- und Gateway-Instanzen betrifft. Citrix hat eine Cybersicherheitswarnung herausgegeben, in der seine Kunden über Ausnutzungsversuche von CVE-2023-4966 informiert werden, die möglicherweise zur Offenlegung sensibler Informationen führen könnten. Um von Angreifern ausgenutzt zu werden, sollten die Citrix-Instanzen entweder als Gateway mit spezifischen Funktionen (VPN virtueller Server, ICA-Proxy, CVPN, RDP-Proxy) oder als AAA virtueller Server konfiguriert sein. CVE-2023-4966 betrifft keine Kunden, die Citrix-verwaltete Cloud-Dienste oder Citrix-verwaltete adaptive Authentifizierung verwenden.
CVE-2023-4966 hat die kritische CVSS-Bewertung von 9,4 erreicht und wird als Zero-Day-Schwachstelle aktiv in der Wildnis ausgenutzt, was überwältigende Zahlen von Kunden den wachsenden Risiken aussetzt.
Trotz der Veröffentlichung von Patches für CVE-2023-4966 in der ersten Oktoberdekade hat Citrix Änderungen an der Warnung vorgenommen, um hervorzuheben, dass es beobachtete Fälle von CVE-2023-4966 auf Geräten gibt, die nicht geschützt oder entschärft wurden.
Mandiant-Forscher haben aktive Ausnutzungen von CVE-2023-4966 beobachtet, die auf professionelle Dienste, die Technologiebranche und den öffentlichen Sektor abzielen. Die erfolgreiche Ausnutzung der Schwachstelle könnte böswilligen Akteuren ermöglichen, die Kontrolle über etablierte authentifizierte Sitzungen zu übernehmen und damit die Multifaktor-Authentifizierung und andere robuste Authentifizierungsrichtlinien effektiv zu umgehen. Außerdem enthüllten Forscher Vorfälle des Sitzungs-Hijacking, bei denen Sitzungsdaten vor der Anwendung des Patches gestohlen wurden, um sie für offensive Zwecke weiter auszunutzen.
Angesichts der verfügbaren Beweise für anhaltende Ausnutzungsversuche hat CISA CVE-2023-4966 zusammen mit einem weiteren Denial-of-Service-Fehler, der als CVE-2023-4967 verfolgt wird, zum Katalog der bekannten ausgenutzten Schwachstellen.
hinzugefügt. Um die Bedrohung zu mindern, empfiehlt Citrix, die potenziell betroffenen Instanzen sofort zu aktualisieren, indem die vorgeschlagenen Builds installiert werden. Die Benutzer von NetScaler ADC- oder NetScaler Gateway-Geräten auf SDX-Hardware sollten ihre VPX-Instanzen aktualisieren.
Angesichts der zunehmenden Anzahl von Zero-Days, die von Angreifern in Angriffen in freier Wildbahn genutzt werden, gehört der Erkennungsinhalt für den proaktiven Anwendungsfall der Schwachstellenausnutzung zu den obersten Prioritäten, um die Cyber-Resilienz der Organisation zu stärken. Steigern Sie Ihre Fähigkeiten zur Erkennungserstellung mit Uncoder AI, der ersten IDE der Branche für aktiv Bedrohungsinformierte Verteidigung, um Erkennungen schneller zu erstellen, häufige Syntax- und Logikfehler zu vermeiden, den Code mit maßgeschneiderter Intelligenz anzureichern und ihn sofort in 65 Sprachformate zu übersetzen.
