Rilevamento CVE-2023-4966: Vulnerabilità Critica di Citrix NetScaler Attivamente Sfruttata in natura
Indice:
Aggiungendo alla lista di zero-day critici di Citrix NetScaler, i ricercatori di sicurezza avvertono di una nuova pericolosa vulnerabilità (CVE-2023-4966) sfruttata continuamente in natura nonostante una patch emessa in ottobre. Segnalata come una falla di divulgazione di informazioni, CVE-2023-4966 consente agli attori malintenzionati di dirottare sessioni autenticate esistenti e potenzialmente risultare in un bypass dell’autenticazione multi-fattore (MFA). Secondo esperti di sicurezza, la patch potrebbe non essere sufficiente per rimediare a un gap di sicurezza, richiedendo la terminazione di tutte le sessioni attive dopo l’installazione dell’aggiornamento. La vulnerabilità ha ottenuto il livello di gravità più alto ed è stata aggiunta al Catalogo KEV da CISA.
Rilevare lo sfruttamento di CVE-2023-4966
Con la continua valanga di attacchi che sfruttano CVE-2023-4966 e un approccio complesso necessario per affrontare il problema, i professionisti della sicurezza necessitano di una fonte affidabile di contenuto di rilevamento per identificare le intrusioni possibili nelle fasi più precoci. Il team di SOC Prime ha sviluppato una regola di rilevamento dedicata per identificare possibili tentativi di sfruttamento di CVE-2023-4966:
Possibile Tentativo di Sfruttamento di Citrix CVE-2023-4966 (via server web)
La regola è compatibile con 13 soluzioni di analisi della sicurezza e mappata al framework MITRE ATT&CK, affrontando le tattiche di Accesso Iniziale con la tecnica Exploit Public-Facing Application (T1190) come tecnica corrispondente.
Esplora la gamma di rilevamento più ampia mirata al rilevamento dei CVE emergenti cliccando il pulsante Esplora Rilevamenti . I professionisti della sicurezza possono ottenere un contesto minuzioso delle minacce informatiche accompagnato da riferimenti ATT&CK e link CTI, oltre a ottenere metadati azionabili adattati alle esigenze specifiche della loro organizzazione per una ricerca efficiente delle minacce.
Analisi di CVE-2023-4966
I ricercatori hanno recentemente identificato una nuova vulnerabilità zero-day tracciata come CVE-2023-4966 che riguarda le istanze Citrix NetScaler ADC e Gateway. Citrix ha emesso un avviso di sicurezza informatica notificando ai clienti di tentativi di sfruttamento di CVE-2023-4966 che potrebbero potenzialmente portare alla divulgazione di informazioni sensibili. Per essere sfruttate dagli aggressori, le istanze Citrix dovrebbero essere configurate come Gateway con funzioni specifiche (server virtuale VPN, Proxi ICA, CVPN, RDP Proxy) o come server virtuale AAA. CVE-2023-4966 non impatta i clienti che usano servizi cloud gestiti da Citrix o Autenticazione Adattiva gestita da Citrix.
CVE-2023-4966 ha raggiunto il punteggio CVSS critico di 9.4 ed è stata sfruttata attivamente in natura come una falla zero-day, esponendo un numero schiacciante di clienti ai rischi crescenti.
Nonostante il rilascio di patch per CVE-2023-4966 nella prima decade di ottobre, Citrix ha aggiunto modifiche all’avviso per evidenziare che sono state osservate istanze di sfruttamento di CVE-2023-4966 su apparecchiature che non erano protette o mitigate.
I ricercatori di Mandiant hanno osservato sfruttamenti attivi di CVE-2023-4966 che mirano ai servizi professionali, all’industria tecnologica e al settore pubblico. Lo sfruttamento riuscito della falla potrebbe consentire ad attori malintenzionati di prendere il controllo di sessioni autenticate stabilite, evasione effettiva dell’autenticazione multi-fattore e di altre politiche di autenticazione robusta. Inoltre, i ricercatori hanno rivelato gli incidenti di dirottamento della sessione in cui i dati della sessione sono stati rubati prima di applicare la patch per essere ulteriormente sfruttati a fini offensivi.
Considerando la prova disponibile di tentativi di sfruttamento continui, CISA ha aggiunto CVE-2023-4966 insieme a un’altra falla di negazione di servizio tracciata come CVE-2023-4967 al Catalogo delle Vulnerabilità Note Sfruttate.
Per mitigare la minaccia, Citrix raccomanda di aggiornare immediatamente le istanze potenzialmente colpite installando le build suggerite. Gli utenti dei dispositivi NetScaler ADC o NetScaler Gateway su hardware SDX dovrebbero aggiornare le loro istanze VPX.
Con l’aumento del numero di zero-day sfruttati dagli avversari negli attacchi in-the-wild, il contenuto di rilevamento per l’uso proattivo dell’exploitation della vulnerabilità è una delle priorità principali per migliorare la resilienza informatica dell’organizzazione. Potenzia le tue capacità di ingegneria del rilevamento con Uncoder AI, il primo IDE del settore per la difesa attiva informata dalle minacce per creare rilevamenti più rapidamente, evitare errori comuni di sintassi e logica, arricchire il codice con intelligenza personalizzata e tradurlo istantaneamente in 65 formati di lingua.
