Detecção CVE-2023-4966: Vulnerabilidade Crítica no Citrix NetScaler Explorada Ativamente
Índice:
Adicionando à lista de zero-days críticos do Citrix NetScaler, pesquisadores de segurança alertam sobre uma nova vulnerabilidade perigosa (CVE-2023-4966) continuamente explorada em estado selvagem apesar de um patch emitido em outubro. Marcada como uma falha de divulgação de informações, a CVE-2023-4966 permite que atores maliciosos sequestram sessões autenticadas existentes e potencialmente resultem em uma violação de autenticação multifator (MFA). De acordo com especialistas em segurança, a correção pode ser insuficiente para remediar uma brecha de segurança, enquanto se requer que todas as sessões ativas sejam encerradas após a instalação da atualização. A vulnerabilidade obteve o nível mais alto de severidade e foi adicionada ao Catálogo KEV pela CISA.
Detectar Explorações CVE-2023-4966
Com a avalanche contínua de ataques que estão armando a CVE-2023-4966 e uma abordagem complexa necessária para abordar a questão, os profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção para identificar possíveis intrusões nas fases mais iniciais. A equipe da SOC Prime desenvolveu uma regra de detecção dedicada para identificar possíveis tentativas de exploração da CVE-2023-4966:
Possível Tentativa de Exploração da Citrix CVE-2023-4966 (via servidor web)
A regra é compatível com 13 soluções de análise de segurança e mapeada para o framework MITRE ATT&CK, abordando táticas de Acesso Inicial com a técnica Aplicação Pública com Exploit (T1190) como técnica correspondente.
Explore o conjunto de detecção mais amplo voltado para a detecção de CVEs emergentes clicando no botão Explore Detections . Profissionais de segurança podem obter um contexto aprofundado sobre ciberameaças acompanhado de referências ATT&CK e links CTI, bem como obter metadados acionáveis adaptados às necessidades específicas da organização para uma pesquisa de ameaças simplificada.
Análise da CVE-2023-4966
Pesquisadores identificaram recentemente uma vulnerabilidade zero-day inédita rastreada como CVE-2023-4966 e afetando instâncias do NetScaler ADC e Gateway da Citrix. A Citrix emitiu um aviso de cibersegurança notificando seus clientes sobre tentativas de exploração da CVE-2023-4966 que podem potencialmente levar à divulgação de informações sensíveis. Para serem armadas por atacantes, as instâncias da Citrix devem ser configuradas como um Gateway com funções específicas (servidor virtual VPN, Proxy ICA, CVPN, Proxy RDP) ou como um servidor virtual AAA. A CVE-2023-4966 não impacta clientes usando serviços em nuvem gerenciados pela Citrix ou Autenticação Adaptativa gerenciada pela Citrix.
A CVE-2023-4966 atingiu o escore crítico de CVSS de 9.4 e tem sido explorada ativamente em estado selvagem como uma falha zero-day, expondo um número esmagador de clientes aos riscos crescentes.
Apesar do lançamento de patches para a CVE-2023-4966 na primeira década de outubro, a Citrix adicionou ajustes ao aviso para destacar que houve instâncias observadas de exploração da CVE-2023-4966 em dispositivos que não estavam protegidos ou mitigados.
Pesquisadores da Mandiant observaram explorações ativas da CVE-2023-4966 direcionando serviços profissionais, a indústria tecnológica e o setor público. A exploração bem-sucedida da falha poderia permitir que atores maliciosos assumissem o controle de sessões autenticadas estabelecidas, efetivamente evadindo a autenticação multifator e outras políticas de autenticação robustas. Além disso, pesquisadores revelaram incidentes de sequestro de sessão onde os dados da sessão foram roubados antes de aplicar o patch para serem mais explorados para fins ofensivos.
Considerando a prova disponível de tentativas de exploração em andamento, a CISA adicionou a CVE-2023-4966 juntamente com outra falha de negação de serviço rastreada como CVE-2023-4967 ao Catálogo de Vulnerabilidades Exploradas Conhecidas.
Para mitigar a ameaça, a Citrix recomenda atualizar as instâncias potencialmente afetadas imediatamente instalando as builds sugeridas. Os usuários de dispositivos NetScaler ADC ou NetScaler Gateway em hardware SDX devem atualizar suas instâncias VPX.
Com o aumento do número de zero-days explorados por adversários em ataques em estado selvagem, o conteúdo de detecção para o uso proativo da exploração de vulnerabilidades é uma das principais prioridades para melhorar a resiliência cibernética da organização. Aumente suas capacidades de engenharia de detecção com Uncoder AI, o primeiro IDE da indústria para defesa informada por ameaças ativas para criar detecções mais rapidamente, evitar erros comuns de sintaxe e lógica, enriquecer o código com inteligência adaptada e traduzi-lo instantaneamente para 65 formatos de linguagem.
