Detección CVE-2023-4966: Vulnerabilidad Crítica de Citrix NetScaler Explotada Activamente en el Ámbito Real
Tabla de contenidos:
Añadiendo a la lista de días cero críticos de Citrix NetScaler, investigadores de seguridad advierten sobre una nueva vulnerabilidad peligrosa (CVE-2023-4966) que se explota continuamente en el entorno a pesar de un parche emitido en octubre. Marcada como una falla de divulgación de información, CVE-2023-4966 permite a los actores malintencionados secuestrar sesiones autenticadas existentes y potencialmente resultar en un bypass de autenticación multifactor (MFA). Según los expertos en seguridad, aplicar el parche podría no ser suficiente para remediar un vacío de seguridad, necesitando la terminación de todas las sesiones activas tras la instalación de la actualización. La vulnerabilidad obtuvo el nivel de severidad más alto y ha sido añadida al Catálogo KEV por CISA.
Detectar Explotaciones de CVE-2023-4966
Con la avalancha continua de ataques que aprovechan CVE-2023-4966 y un enfoque complejo requerido para abordar el problema, los profesionales de seguridad necesitan una fuente confiable de contenido de detección para identificar posibles intrusiones en las etapas más tempranas. El equipo de SOC Prime ha desarrollado una regla de detección dedicada para identificar posibles intentos de explotación de CVE-2023-4966:
Intento de Explotación Posible de Citrix CVE-2023-4966 (a través del servidor web)
La regla es compatible con 13 soluciones de análisis de seguridad y mapeada al marco MITRE ATT&CK, abordando tácticas de Acceso Inicial con la técnica Exploit Public-Facing Application (T1190) como técnica correspondiente.
Explore la pila de detección más amplia orientada a la detección de CVEs emergentes haciendo clic en el Explorar Detecciones botón. Los profesionales de seguridad pueden obtener un contexto de amenaza cibernética en profundidad acompañado de referencias ATT&CK y enlaces CTI, así como obtener metadatos accionables adaptados a las necesidades específicas de su organización para una investigación de amenazas más eficiente.
Análisis de CVE-2023-4966
Los investigadores identificaron recientemente una nueva vulnerabilidad de día cero rastreada como CVE-2023-4966 y que afecta a las instancias de Citrix’s NetScaler ADC y Gateway. Citrix ha emitido un asesoramiento de ciberseguridad notificando a sus clientes sobre los intentos de explotación de CVE-2023-4966 que podrían potencialmente llevar a la divulgación de información sensible. Para ser aprovechados por atacantes, las instancias de Citrix deben configurarse ya sea como un Gateway con funciones específicas (servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy) o como un servidor virtual AAA. CVE-2023-4966 no afecta a los clientes que utilizan servicios en la nube gestionados por Citrix o Autenticación Adaptativa gestionada por Citrix.
CVE-2023-4966 ha alcanzado el puntaje CVSS crítico de 9.4 y ha sido explotado activamente en el entorno como una falla de día cero, exponiendo a un abrumador número de clientes a los crecientes riesgos.
A pesar del lanzamiento de parches para CVE-2023-4966 en la primera década de octubre, Citrix ha añadido ajustes al asesoramiento para destacar que se han observado instancias de explotación de CVE-2023-4966 en dispositivos que no estaban protegidos o mitigados.
Investigadores de Mandiant han observado explotaciones activas de CVE-2023-4966 que apuntan a servicios profesionales, la industria tecnológica y el sector público. La explotación exitosa de la falla podría permitir a actores malintencionados tomar el control de sesiones autenticadas establecidas, evadiendo efectivamente la autenticación multifactor y otras políticas de autenticación robustas. Además, los investigadores revelaron los incidentes de secuestro de sesiones donde los datos de sesión fueron robados antes de aplicar el parche para ser explotados posteriormente con fines ofensivos.
Considerando la prueba disponible de intentos de explotación en curso, CISA ha añadido CVE-2023-4966 junto con otra falla de denegación de servicio rastreada como CVE-2023-4967 al Catálogo de Vulnerabilidades Conocidas Explotadas.
Para mitigar la amenaza, Citrix recomienda actualizar inmediatamente las instancias potencialmente afectadas instalando las compilaciones sugeridas. Los usuarios de dispositivos NetScaler ADC o NetScaler Gateway en hardware SDX deben actualizar sus instancias VPX.
Con el creciente número de días cero aprovechados por los adversarios en los ataques en el entorno, el contenido de detección para el caso de uso proactivo de explotación de vulnerabilidades es una de las principales prioridades para mejorar la resiliencia cibernética de la organización. Mejore sus capacidades de ingeniería de detección con Uncoder AI, la primera IDE de la industria para la defensa activa informada por amenazas para crear detecciones más rápido, evitar errores comunes de sintaxis y lógica, enriquecer el código con inteligencia personalizada y traducirlo instantáneamente a 65 formatos de lenguaje.
