Détection CVE-2023-3519 : Zero-Day RCE dans Citrix NetScaler ADC et NetScaler Gateway exploité dans la nature
Table des matières :
Attention ! Les experts en cybersécurité avertissent les défenseurs d’une faille zero-day compromettant les contrôleurs de diffusion d’applications Citrix NetScaler (ADC) et les passerelles NetScaler. La faille suivie sous le nom de CVE-2023-3519 peut conduire à une exécution de code à distance (RCE) et est observée comme étant activement exploitée par des adversaires dans la nature avec le PoC exploité publié sur GitHub.
Détecter les tentatives d’exploitation de CVE-2023-3519
Le volume croissant d’attaques utilisant CVE-2023-3519 pour procéder à des intrusions de manière automatisée représente une menace croissante pour les défenseurs du cyber. Pour identifier d’éventuelles intrusions dès les premiers stades, la plate-forme SOC Prime pour la défense collective contre les cybermenaces propose un ensemble de règles Sigma conçues pour la détection des exploitations de CVE-2023-3519.
Toutes les règles sont compatibles avec 28 technologies SIEM, EDR, XDR et Data Lake et sont mappées à MITRE ATT&CK v12 pour rationaliser les opérations de chasse aux menaces et faciliter l’étude approfondie de la menace critique.
Pour explorer la liste complète des règles traitant le problème de sécurité mis en avant, cliquez sur le Explorer les détections bouton ci-dessous. Les professionnels de la sécurité peuvent accéder à un contexte étendu de menaces cybernétiques accompagné de références ATT&CK et de liens CTI, ainsi qu’obtenir plus de métadonnées pertinentes répondant aux besoins actuels de sécurité et renforçant l’investigation des menaces.
Analyse de CVE-2023-3519
En réponse aux tentatives d’attaque croissantes s’appuyant sur CVE-2023-3519 RCE, avec un score CVSS atteignant 9.8, les chercheurs de Mandiant ont récemment publié un outil de balayage IOC pour permettre aux défenseurs de vérifier leurs appareils Citrix pour des traces de compromission.
La faille est apparue au grand jour à la mi-juillet 2023, provoquant immédiatement une agitation dans le domaine des menaces cybernétiques avec des revendications croissantes de son exploitation active dans la nature. La vulnérabilité permet aux adversaires d’effectuer une RCE sur les appareils ciblés NetScaler ADC (anciennement appelés Citrix ADC) et les passerelles NetScaler. Les adversaires peuvent armer la faille CVE-2023-3519 en téléchargeant des fichiers avec des web shells et des scripts malveillants, leur permettant de scanner l’environnement et de voler des données sensibles. Un PoC exploitable pour CVE-2023-3519 qui applique des adresses et du shellcode connexes est actuellement disponible sur GitHub.
Pour sensibiliser à la cybersécurité, Citrix a immédiatement émis un avis de sécurité, visant à avertir à temps les défenseurs des tentatives d’exploitation potentielles de CVE-2023-3519 ainsi que d’autres failles affectant les utilisateurs de NetScaler, y compris CVE-2023-3466 et CVE-2023-3467. Dans le bulletin de sécurité correspondant, les clients NetScaler ont été incités à mettre à jour leurs instances potentiellement compromises aux dernières versions logicielles traitant les vulnérabilités. Cependant, les chercheurs en cybersécurité de la Fondation Shadowserver ont découvert que même après la publication des mises à jour par Citrix, plus de 15 000 appareils ont ensuite été exposés aux attaques en nature abusant du bug de sécurité.
Les volumes émergents d’attaques exploitant le zero-day CVE-2023-3519 avec des milliers d’instances Citrix NetScaler potentiellement affectées nécessitent une ultra-réactivité des défenseurs. Fiez-vous à Uncoder AI pour rechercher la présence d’indicateurs de compromission et générer instantanément des requêtes IOC prêtes à être exécutées dans votre environnement SIEM ou EDR tout en réduisant le temps d’investigation de la menace.
