Una vulnerabilidad de día cero en Citrix NetScaler Application Delivery Controller (ADC) y Citrix NetScaler Gateway parece estar siendo explotada por un actor de amenazas persistentes avanzadas (APT) no especificado respaldado por el gobierno chino y debe repararse de inmediato.
Según el aviso inicial de Citrix publicado el martes 18 de julio, las tres vulnerabilidades parcheadas por Citrix afectan a varias versiones de las líneas NetScaler ADC (anteriormente Citrix ADC) y NetScaler Gateway (anteriormente Citrix Gateway).
Se rastrean como CVE-2023-3466, una falla de secuencias de comandos entre sitios reflejada; CVE-2023-3467, una vulnerabilidad de escalada de privilegios; y CVE-2023-3519, un error de ejecución remota de código (RCE) no autenticado.
De estos, el tema de preocupación es la vulnerabilidad RCE, CVE-2023-3519, que tiene un puntaje CVSS de 9.8, y es este error que se agregó a la lista de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el 20 de julio.
La adición de una vulnerabilidad a la lista de KEV exige que los organismos gubernamentales de EE. UU. la aborden en una fecha determinada. No tiene peso más allá de esto, pero la inclusión en esta lista es una señal segura de que todas las organizaciones deben prestar atención.
Según CISA, el actor de amenazas explotó CVE-2023-3519 para lanzar un webshell en un dispositivo NetScaler ADC de entorno no productivo propiedad de un operador de infraestructura nacional crítica (CNI).
La vulnerabilidad RCE, CVE-2023-3519, tiene una puntuación CVSS de 9,8 y se agregó a la lista de vulnerabilidades explotadas conocidas de CISA de EE. UU. el 20 de julio. La inclusión en esta lista es una señal segura de que todas las organizaciones deben prestar atención
Usando este webshell, el actor intentó realizar acciones de descubrimiento en el directorio activo (AD) de la víctima y extraer datos de él. Luego intentaron moverse lateralmente a un controlador de dominio, pero en este caso se vieron frustrados cuando se activaron los controles de segmentación de red del dispositivo.
En este caso, la organización víctima pudo identificar rápidamente el compromiso y denunció debidamente el incidente tanto a CISA como a Citrix.
Al evaluar el impacto de CVE-2023-3519, los investigadores de Mandiant, que desempeñó un papel clave en la investigación inicial, dijeron que debido a que los dispositivos ADC se utilizan predominantemente en el sector de TI y forman un componente vital de los centros de datos empresariales en la nube, cuando se trata de garantizar la entrega óptima de aplicaciones empresariales, presentan un objetivo tentador.
Sin embargo, escribió el equipo de analistas, compuesto por James Nugent, Foti Castelan, Doug Bienstock, Justin Moore y Josh Murchie, los actores de amenazas chinos a menudo apuntan a dispositivos que se encuentran en el borde de la red porque pueden ser más difíciles de monitorear y muy a menudo no admiten soluciones de detección de intrusos.
“Mandiant no puede atribuir esta actividad en función de la evidencia recopilada hasta el momento”, escribió el equipo. “Sin embargo, este tipo de actividad es consistente con operaciones anteriores de actores del nexo con China basadas en capacidades y acciones conocidas contra Citrix ADC en 2022.
“La evolución del panorama de amenazas cibernéticas entre China y el nexo ha evolucionado hasta tal punto que su ecosistema refleja más de cerca el de los grupos de delitos financieros, con conexiones y superposición de códigos que no necesariamente ofrecen una imagen completa”.
Más allá de aplicar el parche, Mandiant también recomienda que, si se descubre que algún dispositivo afectado ha sido explotado, debe reconstruirse de inmediato. Este proceso de actualización sobrescribirá algunos, pero no todos, los directorios donde los actores de amenazas pueden colocar webshells.
Es posible que los equipos de seguridad también deseen reevaluar si sus puertos de administración de dispositivos ADC o Gateway necesitan o no acceso a Internet sin restricciones, y limitar el acceso solo a las direcciones IP necesarias, lo que dificultaría las actividades posteriores a la explotación.
Con base en algunas de las otras tácticas, técnicas y procedimientos (TTP) descritos en el informe de Mandiant, el equipo de investigación también recomienda que las organizaciones afectadas roten todos los secretos almacenados en el archivo de configuración y cualquier clave privada o certificado utilizable para las conexiones de seguridad de la capa de transporte (TLS).
También pueden desear fortalecer las cuentas susceptibles en el dominio para protegerse contra la exposición de credenciales y limitar la capacidad de un actor de amenazas para obtener credenciales para el movimiento lateral.
