Detección de CVE-2023-3519: Día Cero de RCE en Citrix NetScaler ADC y NetScaler Gateway Explotado en Entornos Reales
Tabla de contenidos:
¡Atención! Los expertos en ciberseguridad notifican a los defensores de una vulnerabilidad de día cero que compromete el Citrix NetScaler Application Delivery Controller (ADC) y los NetScaler Gateway Appliances. La vulnerabilidad, registrada como CVE-2023-3519, puede llevar a la ejecución remota de código (RCE) y se observa que es activamente aprovechada por adversarios en ambientes reales con el exploit PoC publicado en GitHub.
Detectar Intentos de Explotación de CVE-2023-3519
El creciente volumen de ataques que aprovechan CVE-2023-3519 para proceder con intrusiones de manera automatizada representa una amenaza creciente para los defensores cibernéticos. Para identificar posibles intrusiones en las primeras etapas, la Plataforma SOC Prime para defensa cibernética colectiva ofrece un conjunto de reglas Sigma curadas dirigidas a la detección de exploits de CVE-2023-3519.
Todas las reglas son compatibles con 28 tecnologías de SIEM, EDR, XDR y Data Lake y están mapeadas a MITRE ATT&CK v12 para agilizar las operaciones de caza de amenazas y facilitar un análisis profundo de la amenaza crítica.
Para explorar la lista completa de reglas que abordan el problema de seguridad en el centro de atención, pulse el Explorar Detecciones botón a continuación. Los profesionales de seguridad pueden acceder a un contexto extendido de amenazas cibernéticas acompañado de referencias a ATT&CK y enlaces CTI, así como obtener metadata más relevante que coincida con las necesidades de seguridad actuales y potencie la investigación de amenazas.
Análisis de CVE-2023-3519
En respuesta al aumento de los intentos de ataque basados en CVE-2023-3519 RCE, con una puntuación CVSS de 9.8, los investigadores de Mandiant han publicado recientemente una herramienta de escaneo IOC para permitir a los defensores verificar sus dispositivos Citrix por cualquier rastro de compromiso.
La vulnerabilidad salió a la luz a mediados de julio de 2023, causando inmediatamente un revuelo en el ámbito de las amenazas cibernéticas con el aumento de afirmaciones sobre su explotación activa en entornos reales. La vulnerabilidad permite a los adversarios realizar RCE en los dispositivos NetScaler ADC (anteriormente llamado Citrix ADC) y los dispositivos NetScaler Gateway seleccionados. Los adversarios pueden aprovechar la vulnerabilidad CVE-2023-3519 cargando archivos con shells web maliciosos y scripts, lo que les permite escanear el entorno y robar datos sensibles. Una PoC exploit para CVE-2023-3519 que aplica direcciones relacionadas y shellcode está actualmente disponible en GitHub.
Para aumentar la conciencia sobre ciberseguridad, Citrix emitió instantáneamente un aviso de seguridad, esforzándose por advertir a tiempo a los defensores sobre los posibles intentos de explotación de CVE-2023-3519 junto con otras vulnerabilidades que afectan a los usuarios de NetScaler, incluidas CVE-2023-3466 y CVE-2023-3467. En el boletín de seguridad correspondiente, se instó a los clientes de NetScaler a actualizar sus instancias potencialmente comprometidas a las últimas versiones de software que abordan las vulnerabilidades. Sin embargo, investigadores de ciberseguridad de la Shadowserver Foundation descubrieron que incluso después de que Citrix lanzara las actualizaciones, más de 15,000 dispositivos aún estaban expuestos a los ataques en entornos reales que aprovechaban el error de seguridad.
Los volúmenes emergentes de ataques que aprovechan la vulnerabilidad de día cero CVE-2023-3519, con miles de instancias de Citrix NetScaler potencialmente afectadas, requieren una ultra capacidad de respuesta por parte de los defensores. Confíe en Uncoder AI para buscar la presencia de indicadores de compromiso relacionados y generar instantáneamente consultas IOC listas para ejecutarse en su entorno SIEM o EDR mientras reduce el tiempo de investigación de amenazas.
