Citrix advierte a los administradores que parcheen el error NetScaler

Citrix ha advertido hoy a los administradores que protejan inmediatamente todos los dispositivos NetScaler ADC y Gateway contra los ataques en curso que explotan la vulnerabilidad CVE-2023-4966.

La compañía parcheó esta falla crítica de divulgación de información confidencial (rastreada como CVE-2023-4966) hace dos semanas, asignándole una calificación de gravedad de 9.4/10, ya que es explotable de forma remota por atacantes no autenticados en ataques de baja complejidad que no requieren la interacción del usuario.

Los dispositivos NetScaler deben configurarse como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o un servidor virtual AAA para ser vulnerables a los ataques.

Si bien la compañía no tenía evidencia de que la vulnerabilidad estuviera siendo explotada en la naturaleza cuando se lanzó la solución, Mandiant reveló la explotación en curso una semana después.

La compañía de ciberseguridad dijo que los actores de amenazas habían estado explotando CVE-2023-4966 como día cero desde finales de agosto de 2023 para robar sesiones de autenticación y secuestrar cuentas, lo que podría ayudar a los atacantes a eludir la autenticación multifactor u otros requisitos de autenticación fuertes.

Mandiant advirtió que las sesiones comprometidas persisten incluso después de la aplicación de parches y, dependiendo de los permisos de las cuentas comprometidas, los atacantes podrían moverse lateralmente a través de la red o comprometer otras cuentas.

Además, Mandiant encontró casos en los que se explotó CVE-2023-4966 para infiltrarse en la infraestructura de entidades gubernamentales y corporaciones tecnológicas.

Se insta a los administradores a proteger los sistemas contra los ataques en curso

"Ahora tenemos informes de incidentes consistentes con el secuestro de sesiones, y hemos recibido informes creíbles de ataques dirigidos que explotan esta vulnerabilidad", advirtió Citrix hoy.

"Si está utilizando compilaciones afectadas y ha configurado NetScaler ADC como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o como un servidor virtual AAA, le recomendamos encarecidamente que instale inmediatamente las compilaciones recomendadas porque esta vulnerabilidad se ha identificado como crítica".

Citrix agregó que "no puede proporcionar un análisis forense para determinar si un sistema puede haber sido comprometido".

Además, Citrix recomienda eliminar todas las sesiones activas y persistentes mediante los siguientes comandos:


Los dispositivos NetScaler ADC y NetScaler Gateway, cuando no están configurados como puertas de enlace (incluido el servidor virtual VPN, el proxy ICA, CVPN o el proxy RDP) o como servidores virtuales AAA (configuraciones típicas de equilibrio de carga, por ejemplo), no son vulnerables a los ataques CVE-2023-4966.

Esto también incluye productos como NetScaler Application Delivery Management (ADM) y Citrix SD-WAN, como confirmó Citrix.

El jueves pasado, CISA agregó CVE-2023-4966 a su Catálogo de Vulnerabilidades y Exploits Conocidos, ordenando a las agencias federales que protejan sus sistemas contra la explotación activa antes del 8 de noviembre.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta