[26/10/2023] Citrix ha instado a los clientes de NetScaler ADC y NetScaler Gateway a instalar versiones actualizadas de los productos de red para evitar la explotación activa de vulnerabilidades que podrían dar lugar a la divulgación de información y ataques DoS.
NetScaler ADC (Application Delivery Controller) y NetScaler Gateway fueron diseñados para mejorar el rendimiento, la seguridad y la disponibilidad de las aplicaciones y servicios dentro de las redes. Citrix anunció por primera vez las vulnerabilidades de los productos -denominadas CVE-2023-4966 y CVE-2023-4967- el 10 de octubre, describiéndolas como fallas "relacionados con búferes no autenticados".
CVE-2023-4966, una vulnerabilidad de divulgación de información crítica y de alta gravedad, se le ha asignado una puntuación CVSS de 9,4. AssetNote, una empresa de ciberseguridad especializada en la identificación y gestión de riesgos de seguridad en aplicaciones web y activos en línea, publicó en GitHub una prueba de concepto (POC) para explotar la vulnerabilidad, denominada Citrix Bleed. La empresa también está ofreciendo pruebas para que los clientes comprueben su exposición a la vulnerabilidad.
En un aviso, Citrix dijo que "se han observado exploits de CVE-2023-4966 en dispositivos no mitigados. Cloud Software Group insta encarecidamente a los clientes de NetScaler ADC y NetScaler Gateway a instalar las versiones actualizadas pertinentes de NetScaler ADC y NetScaler Gateway lo antes posible".
Los exploits activos para CVE-2023-4967, que permitiría a los atacantes lanzar ataques DoS, no se han observado tan ampliamente. Se le ha asignado una puntuación CVSS de 8,2.
Citrix recomienda la aplicación inmediata de parches
En la actualización más reciente sobre las vulnerabilidades, Citrix ha recomendado instalar versiones actualizadas de los dispositivos afectados. Múltiples versiones de NetScaler ADC y NetScaler Gateway están afectadas por las vulnerabilidades, y están listadas por Citrix en su último boletín de seguridad.
"La versión 12.1 de NetScaler ADC y NetScaler Gateway es ahora End-of-Life (EOL)", añadió Citrix en el boletín. "Se recomienda a los clientes que actualicen sus dispositivos a una de las versiones compatibles que abordan las vulnerabilidades".
Los detalles técnicos sobre CVE-2023-4966 han sido ofrecidos por AssetNote. La empresa de ciberseguridad realizó patch-diffing, un análisis diferencial que compara las versiones parcheadas y no parcheadas de un producto, en las versiones de NetScaler 13.1-49.15 (parcheada) y 13.1-48.47 (no parcheada), para determinar las funciones vulnerables.
El proceso de diferenciación consistió en buscar en el binario /NetScaler/nsppe. "Este es el motor de procesamiento de paquetes NetScaler y contiene una pila de red TCP/IP completa, así como múltiples servicios HTTP", anotó AssetNote en un blog. "Si hay una vulnerabilidad en NetScaler, aquí es donde miramos primero".
AssetNote descubrió dos funciones vulnerables: ns_aaa_oauth_send_openid_config, y ns_aaa_oauthrp_send_openid_config. Los parches para estas funciones, que permiten el acceso no autenticado, se realizaron con la misma lógica.
Aparte de actualizar a las versiones corregidas, Citrix recomienda matar todas las sesiones activas y persistentes mediante una serie de comandos que incluyen: kill icaconnection -all; kill rdp connection -all; kill pcoipConnection -all; kill aaa session -all; y clear lb persistentSessions.
Sin embargo, también señaló que "los clientes que utilizan servicios en la nube administrados por Citrix o Adaptive Authentication administrado por Citrix no necesitan tomar ninguna medida".
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú