Rilevamento CVE-2023-3519: RCE Zero-Day in Citrix NetScaler ADC e NetScaler Gateway sfruttato in natura
Indice:
Attenzione! Esperti di cybersicurezza avvisano i difensori di una vulnerabilità zero-day che compromette Citrix NetScaler Application Delivery Controller (ADC) e NetScaler Gateway Appliances. La vulnerabilità tracciata come CVE-2023-3519 può portare a RCE ed è osservata essere attivamente sfruttata da avversari nel campo con l’exploit PoC rilasciato su GitHub.
Rileva tentativi di sfruttamento CVE-2023-3519
Il crescente volume di attacchi che sfruttano CVE-2023-3519 per procedere con le intrusioni in modo automatizzato rappresenta una minaccia crescente per i difensori informatici. Per identificare possibili intrusioni nelle fasi iniziali, la piattaforma SOC Prime per la difesa cibernetica collettiva offre un insieme di regole Sigma curate mirate alla rilevazione dell’exploit CVE-2023-3519.
Tutte le regole sono compatibili con 28 tecnologie SIEM, EDR, XDR, e Data Lake e mappate su MITRE ATT&CK v12 per ottimizzare le operazioni di caccia alle minacce e facilitare l’analisi approfondita della minaccia critica.
Per esplorare la lista completa delle regole che affrontano il problema di sicurezza in primo piano, premi il pulsante Esplora Rilevamenti qui sotto. I professionisti della sicurezza possono accedere a un contesto ampio di minacce informatiche accompagnato da riferimenti ATT&CK e collegamenti CTI, nonché ottenere più metadati rilevanti che soddisfino le attuali esigenze di sicurezza e potenzino l’indagine di minacce.
Analisi CVE-2023-3519
In risposta ai crescenti tentativi di attacco basati su CVE-2023-3519 RCE, con un punteggio CVSS che raggiunge 9.8, i ricercatori di Mandiant hanno recentemente pubblicato uno strumento di scansione IOC per consentire ai difensori di controllare i propri dispositivi Citrix per eventuali tracce di compromissione.
La vulnerabilità è venuta alla luce a metà luglio 2023, causando immediatamente scalpore nell’arena delle minacce informatiche con le crescenti affermazioni del suo sfruttamento attivo nel campo. La vulnerabilità consente agli avversari di eseguire RCE sui dispositivi NetScaler ADC mirati (precedentemente chiamati Citrix ADC) e NetScaler Gateway. Gli avversari possono sfruttare la vulnerabilità CVE-2023-3519 caricando file con web shells e script dannosi, consentendo loro di scansionare l’ambiente e rubare dati sensibili. Un exploit PoC per CVE-2023-3519 che applica indirizzi correlati e shellcode è attualmente disponibile su GitHub.
Per aumentare la consapevolezza sulla cybersicurezza, Citrix ha immediatamente emesso un avviso di sicurezza correlato, cercando di avvisare tempestivamente i difensori dei potenziali tentativi di sfruttamento della CVE-2023-3519 insieme ad altre vulnerabilità che colpiscono gli utenti NetScaler, incluse CVE-2023-3466 e CVE-2023-3467. Nel corrispondente bollettino di sicurezza, i clienti NetScaler sono stati invitati ad aggiornare le proprie istanze potenzialmente compromesse alle ultime versioni del software che affrontano le vulnerabilità. Tuttavia, i ricercatori di sicurezza informatica della Shadowserver Foundationhanno scoperto che, anche dopo il rilascio degli aggiornamenti da parte di Citrix, oltre 15.000 dispositivi sono stati successivamente esposti agli attacchi nel campo che abusano del bug di sicurezza. Shadowserver Foundation uncovered that even after releasing the updates by Citrix, over 15,000 appliances were later exposed to the related in-the-wild attacks abusing the security bug.
I crescenti volumi di attacchi che sfruttano la vulnerabilità zero-day CVE-2023-3519 con migliaia di istanze Citrix NetScaler potenzialmente colpite richiedono un’ultra-reattività dai difensori. Affidati a Uncoder AI per cercare la presenza di indicatori di compromissione correlati e generare istantaneamente query IOC pronte per essere eseguite nel tuo ambiente SIEM o EDR riducendo i tempi di indagine delle minacce.
