Поделиться
Citrix залатала брешь в своем популярном продукте, но в системах клиентов успели обжиться хакеры
Обнаружена и закрыта новая уязвимость в продуктах Citrix NetScaler. Ее уже вовсю эксплуатировали хакеры. Кто были жертвы — неизвестно, технических данных минимум.
Три уязвимости, одна критическая
Компания Citrix известила пользователей о существовании критической уязвимости в ее продуктах, которой киберзлоумышленники начали активно пользоваться еще до того, как о ней узнал вендор.
Уязвимость CVE-2023-3519 (9,8 балла по шкале угроз CVSS) затрагивает ряд вариантов NetScaler ADC (Application Delivery Controller — контроллер доставки приложений) и NetScaler Gateway версий 12 и 13. Всего затронуты шесть версий.
Об уязвимости известно только, что она допускает инъекцию кода, и, как следствие, запуск произвольного кода без авторизации.
Других деталей Citrix пока что не раскрывает, ограничиваясь констатацией факта, что уязвимость срабатывает на незащищенных устройствах. В публикации The Hacker News указывается, что устройство должно быть настроено в режим шлюза (виртуального VPN-сервера, ICA Proxy, CVPN, RDP Proxy и т. д.) или в режиме виртуального сервера авторизации и учета (AAA).
Помимо критической уязвимости выявлены еще две: CVE-2023-3466 и CVE-2023-3467, с индексами угрозы 8,3 и 8,0 балла, соответственно.
Первая из них связана с некорректной валидацией вводимых значений, что может приводить к XSS-атаке (атаке межсайтовогj кросс-скриптинга). Вторая допускает повышение привилегий до уровня nsroot (администратора) в связи с некорректным управлением правами в контексте устройства.
Citrix выпустил необходимые исправления. Уязвимость отсутствует в версиях NetScalerADC/Gateway 13.1-49.13 и далее, NetScalerADC/Gateway 13.0.91-49.13 и далее, NetScalerADC 13.1-FIPS 13.1-37.159, NetScalerADC 12.1-FIPS 12.1-55.297 и далее, NetScalerADC 12.1-NDcPP 12.1-55.297 и далее.
Патчи для NetScalerADC/Gateway версии 12.1 компания решила не выпускать: этот продукт уже снят с поддержки, поэтому его обладателям предложено обновиться до более новых версий.
За завесой тайны
Citrix не стала раскрывать подробности об атаках и их целях.
«Подобная секретность может быть связана с двумя вещами: либо у самого вендора не так много информации, либо, и это более вероятно, технические подробности удерживаются, пока значительная часть пользователей этих продуктов не установят обновления, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — В свою очередь, это может свидетельствовать о том, что эксплуатация этой критической уязвимости проста и незамысловата, а значит речь идет о повышенных рисках».
Эксперт по сетевой безопасности Флориан Рота (Florian Roth), сотрудник фирмы Nextron Systems утверждает, что существует список индикаторов компрометации, указывающих на эксплуатацию данной уязвимости. В нем упоминаются «веб-шелл PHP, двоичный файл SetUID и IP».
По словам Роты, непонятно, почему Citrix до сих пор не раскрыл этот список, поскольку создать эксплойт, используя только эти данные, невозможно.
Тем не менее, Citrix до сих пор этот список не опубличила. Возможно, информация была передана пострадавшим приватным порядком.
Короткая ссылка
