La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos emitió una advertencia de que los actores de amenazas intentaron atacar la infraestructura crítica utilizando una vulnerabilidad de Citrix/NetScaler conocida como CVE-2023-3519. Sin embargo, estos actores de amenazas no tuvieron éxito en sus esfuerzos debido a las fuertes defensas y la segmentación de la red.
Algunas personas no son tan afortunadas como otras. Ahora que se han desarrollado, se puede acceder a los scripts de detección y los IOC. (La posición precaria
La advertencia se publicó unos días después de que Critix revelara una vulnerabilidad RCE previa a la autenticación alarmante conocida como CVE-2023-3519. Esta vulnerabilidad afecta a NetScaler ADC y NetScaler Gateway, que ahora se conocen más oficialmente como Citrix ADC y Citrix Gateway, respectivamente.
La agencia ahora ha revelado los Indicadores de Compromiso (IoC) después de que se emitiera un aviso anterior de forma limitada como “TLP: Ámbar”, un movimiento que podría considerarse problemático teniendo en cuenta que los ataques han estado ocurriendo en la naturaleza desde junio.
Los piratas informáticos aprovecharon la vulnerabilidad para instalar un webshell en una instancia que no es de producción de un NetScaler ADC que pertenece a un proveedor de CNI no revelado. Esto “permitió a los actores realizar un descubrimiento en el AD de la víctima y recopilar y filtrar datos de AD”.
CISA declaró que, afortunadamente, la arquitectura robusta y las defensas generalmente efectivas impidieron una mayor explotación en un artículo que brinda algunas detecciones valiosas para las personas que están preocupadas por la explotación de la vulnerabilidad CVSS 9.8, que se puede explotar de forma remota sin necesidad de autenticación.
Citrix emitió una advertencia a sus clientes el 18 de julio explicando que la vulnerabilidad afecta lo siguiente cuando se configura como Gateway (servidor virtual VPN, ICA Proxy, CVPN, RDP Proxy), así como cuando se usa junto con un servidor virtual AAA.
- NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.13
- NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-91.13
- NetScaler ADC 13.1-FIPS anterior a 13.1-37.159
- NetScaler ADC 12.1-FIPS antes de 12.1-65.36
- NetScaler ADC 12.1-NDcPP antes de 12.65.36
CISA dijo que, como parte de su primera cadena de ataque, los actores de amenazas escanearon SMB en la subred mientras cargaban un archivo TGZ en el dispositivo ADC que incluía un webshell genérico, un script de descubrimiento y malware setuid.
De acuerdo con las recomendaciones de CISA, los administradores deben aplicar parches lo antes posible, ejecutar detecciones y, si se encuentra un compromiso, poner en cuarentena o desconectar los hosts potencialmente afectados; volver a crear la imagen de los hosts comprometidos; proporcionar nuevas credenciales de cuenta; recopilar y revisar artefactos como procesos/servicios activos, autenticaciones inusuales y conexiones de red recientes; y, si se encuentra en los EE. UU., informe el compromiso a CISA.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.