(https://i.postimg.cc/dQyCVZqc/Citrix.png) (https://postimages.org/)
Citrix instó a sus clientes el martes a parchear inmediatamente los dispositivos Netscaler ADC y Gateway expuestos en línea contra dos vulnerabilidades de día cero explotadas activamente.
Los dos días cero (rastreados como CVE-2023-6548 y CVE-2023-6549) afectan la interfaz de administración de Netscaler y exponen las instancias de Netscaler sin parches a la ejecución remota de código y a ataques de denegación de servicio, respectivamente.
Sin embargo, para obtener la ejecución del código, los atacantes deben iniciar sesión en cuentas con pocos privilegios en la instancia objetivo y necesitan acceso a NSIP, CLIP o SNIP con acceso a la interfaz de administración.
Además, los dispositivos deben configurarse como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o un servidor virtual AAA para que sean vulnerables a ataques DoS.
La compañía dice que solo los dispositivos NetScaler administrados por el cliente se ven afectados por los días cero, mientras que los servicios en la nube administrados por Citrix o la autenticación adaptativa administrada por Citrix no se ven afectados.
La lista de versiones de productos Netscaler afectadas por estas dos vulnerabilidades de día cero incluye lo siguiente:
NetScaler ADC y NetScaler Gateway 14.1 anteriores a 14.1-12.35
NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-51.15
NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-92.21
NetScaler ADC 13.1-FIPS anterior a 13.1-37.176
NetScaler ADC 12.1-FIPS anterior a 12.1-55.302
NetScaler ADC 12.1-NDcPP anterior a 12.1-55.302
Según los datos proporcionados por la plataforma de monitoreo de amenazas Shadowserver, actualmente hay poco más de 1.500 interfaces de administración de Netscaler expuestas en Internet.
En un aviso de seguridad publicado hoy, Citrix instó a todos los administradores a parchear inmediatamente sus dispositivos Netscaler contra los dos días cero para bloquear posibles ataques.
"Se han observado explotaciones de estos CVE en dispositivos no mitigados", advirtió la empresa. "Cloud Software Group insta encarecidamente a los clientes afectados de NetScaler ADC y NetScaler Gateway a instalar las versiones actualizadas pertinentes lo antes posible".
A aquellos que todavía utilizan el software de fin de vida útil (EOL) NetScaler ADC y NetScaler Gateway versión 12.1 también se les recomendó que los actualicen a una versión que aún esté bajo soporte.
Los administradores que no puedan implementar inmediatamente las actualizaciones de seguridad actuales deben bloquear el tráfico de red hacia las instancias afectadas y asegurarse de que no queden expuestas en línea.
"Cloud Software Group recomienda encarecidamente que el tráfico de red hacia la interfaz de administración del dispositivo esté separado, ya sea física o lógicamente, del tráfico de red normal", dijo Citrix.
"Además, recomendamos que no exponga la interfaz de administración a Internet, como se explica en la guía de implementación segura. Eliminar dicha exposición a Internet reduce en gran medida el riesgo de explotación de este problema".
Otra falla crítica de Netscaler parcheada en octubre y rastreada como CVE-2023-4966 (posteriormente denominada Citrix Bleed) también fue explotada como día cero desde agosto por varios grupos de amenazas para piratear las redes de organizaciones gubernamentales y empresas tecnológicas de alto perfil en todo el mundo como Boeing.
El equipo de seguridad del HHS, el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3), también emitió una alerta para todo el sector instando a las organizaciones de salud a proteger sus instancias de NetScaler ADC y NetScaler Gateway contra los crecientes ataques de ransomware.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/citrix-warns-of-new-netscaler-zero-days-exploited-in-attacks/