Detecção CVE-2023-3519: Zero-Day RCE em Citrix NetScaler ADC e NetScaler Gateway Explorados em Campo
Índice:
Atenção! Especialistas em cibersegurança notificam defensores sobre uma falha de dia zero comprometendo o Citrix NetScaler Application Delivery Controller (ADC) e os NetScaler Gateway Appliances. A falha rastreada como CVE-2023-3519 pode levar a RCE e foi observada sendo ativamente explorada por adversários na natureza, com o PoC de exploração lançado no GitHub.
Detectar Tentativas de Exploração do CVE-2023-3519
O crescente volume de ataques que utilizam o CVE-2023-3519 para prosseguir com intrusões de forma automatizada representa uma ameaça crescente para os defensores cibernéticos. Para identificar possíveis intrusões nos estágios iniciais, a SOC Prime Platform para defesa cibernética coletiva oferece um conjunto de regras Sigma selecionadas visando a detecção de explorações do CVE-2023-3519.
Todas as regras são compatíveis com 28 tecnologias SIEM, EDR, XDR e Data Lake e estão mapeadas para MITRE ATT&CK v12 para agilizar as operações de caça às ameaças e facilitar a investigação profunda sobre a ameaça crítica.
Para explorar a lista completa de regras que abordam a questão de segurança em destaque, clique no Explore Detecções botão abaixo. Profissionais de segurança podem acessar contexto extenso sobre ameaças cibernéticas acompanhado por referências ao ATT&CK e links de CTI, bem como obter metadados mais relevantes que correspondem às necessidades de segurança atuais e potencializam a investigação de ameaças.
Análise do CVE-2023-3519
Em resposta ao aumento das tentativas de ataque que dependem do CVE-2023-3519 RCE, com a pontuação CVSS alcançando 9.8, os pesquisadores da Mandiant publicaram recentemente uma ferramenta de escaneamento de IOC para permitir que os defensores verifiquem seus dispositivos Citrix em busca de quaisquer traços de comprometimento.
A falha ganhou destaque em meados de julho de 2023, causando imediatamente um alvoroço na arena de ameaças cibernéticas com o aumento das alegações de sua exploração ativa na natureza. A vulnerabilidade permite que adversários executem RCE nos dispositivos NetScaler ADC (anteriormente chamado de Citrix ADC) e NetScaler Gateway visados. Os adversários podem explorar a falha CVE-2023-3519 carregando arquivos com web shells e scripts maliciosos, permitindo-lhes escanear o ambiente e roubar dados sensíveis. Um PoC de exploração para o CVE-2023-3519 que aplica endereços relacionados e shellcode está atualmente disponível no GitHub.
Para aumentar a conscientização sobre cibersegurança, a Citrix imediatamente emitiu um aviso de segurança, esforçando-se para avisar em tempo oportuno os defensores sobre potenciais tentativas de exploração do CVE-2023-3519 junto com outras falhas que afetam os usuários do NetScaler, incluindo CVE-2023-3466 e CVE-2023-3467. No boletim de segurança correspondente, clientes do NetScaler foram solicitados a atualizar suas instâncias potencialmente comprometidas para as versões mais recentes do software que resolvem as vulnerabilidades. No entanto, pesquisadores de cibersegurança da Shadowserver Foundation descobriram que, mesmo após o lançamento das atualizações pela Citrix, mais de 15.000 dispositivos foram posteriormente expostos aos ataques relacionados em andamento que abusam da falha de segurança.
Os volumes crescentes de ataques que utilizam o zero-day CVE-2023-3519 com milhares de instâncias Citrix NetScaler potencialmente afetadas requerem ultra-responsividade dos defensores. Confie no Uncoder AI para procurar a presença de indicadores de comprometimento relacionados e gerar instantaneamente consultas IOC prontas para serem executadas em seu ambiente SIEM ou EDR enquanto reduz o tempo da investigação de ameaças.
