.
Imagens Getty
Uma vulnerabilidade crítica que os hackers têm explorado desde agosto, que lhes permite contornar a autenticação multifator no hardware de rede Citrix, recebeu um patch do fabricante. Infelizmente, aplicá-lo não é suficiente para proteger os sistemas afetados.
A vulnerabilidade, rastreada como CVE-2023-4966 e com uma classificação de gravidade de 9,8 em 10 possíveis, reside no NetScaler Application Delivery Controller e no NetScaler Gateway, que fornecem balanceamento de carga e logon único em redes corporativas, respectivamente. Decorrente de uma falha em uma função atualmente desconhecida, a vulnerabilidade de divulgação de informações pode ser explorada para que hackers possam interceptar comunicações criptografadas que passam entre dispositivos. A vulnerabilidade pode ser explorada remotamente e sem necessidade de ação humana, mesmo quando os invasores não têm privilégios de sistema em um sistema vulnerável.
A Citrix lançou um patch para a vulnerabilidade na semana passada, juntamente com um comunicado que forneceu poucos detalhes. Na quarta-feira, pesquisadores da empresa de segurança Mandiant disseram que a vulnerabilidade está sob exploração ativa desde agosto, possivelmente para espionagem contra serviços profissionais, tecnologia e organizações governamentais. A Mandiant alertou que corrigir a vulnerabilidade não era suficiente para bloquear as redes afetadas porque quaisquer sessões sequestradas antes da atualização de segurança persistiriam depois.
A empresa escreveu:
A exploração bem-sucedida pode resultar na capacidade de sequestrar sessões autenticadas existentes, ignorando assim a autenticação multifator ou outros requisitos de autenticação fortes. Essas sessões podem persistir após a implantação da atualização para mitigar o CVE-2023-4966. Além disso, observamos sequestro de sessão em que os dados da sessão foram roubados antes da implantação do patch e posteriormente usados por um agente de ameaça.
O sequestro de sessão autenticada poderia então resultar em acesso posterior adicional com base nas permissões e no escopo de acesso permitido à identidade ou sessão. Um agente de ameaça poderia utilizar esse método para coletar credenciais adicionais, dinamizar lateralmente e obter acesso a recursos adicionais em um ambiente.
A Mandiant forneceu orientações de segurança que vão muito além dos conselhos fornecidos pela Citrix. Especificamente:
• Isole os dispositivos NetScaler ADC e Gateway para testes e preparação para implantação de patches.
Nota: Se os dispositivos vulneráveis não puderem ser priorizados para correção, a Mandiant recomenda que os dispositivos tenham restrições de endereço IP de entrada aplicadas para limitar a exposição e a superfície de ataque até que os patches necessários tenham sido aplicados.
• Atualize dispositivos NetScaler ADC e Gateway vulneráveis para as versões de firmware mais recentes, o que reduz a vulnerabilidade.
• Após a atualização, encerre todas as sessões ativas e persistentes (por dispositivo).
– Conecte-se ao dispositivo NetScaler usando a CLI.
• Para encerrar todas as sessões ativas, execute o seguinte comando:
kill aaa session -all• Para limpar sessões persistentes em balanceadores de carga NetScaler, execute o seguinte comando (onde é o nome do servidor/dispositivo virtual):
clear lb persistentSessions• Para limpar sessões ICA existentes, execute o seguinte comando:
kill icaconnection -all• Rotação de credenciais
– Devido à falta de registros de log disponíveis ou outros artefatos de atividade de exploração, como precaução, as organizações devem considerar a rotação de credenciais para identidades que foram provisionadas para acessar recursos por meio de um dispositivo NetScaler ADC ou Gateway vulnerável.
– Se houver evidência de atividade suspeita ou movimento lateral dentro de um ambiente, as organizações devem priorizar a rotação de credenciais para um escopo maior de identidades se o acesso remoto de autenticação de fator único (SFA) for permitido para quaisquer recursos da Internet.
• Se web shells ou backdoors forem identificados em dispositivos NetScaler, a Mandiant recomenda reconstruir os dispositivos usando uma imagem de fonte limpa, incluindo o firmware mais recente.
Nota: Se for necessária a restauração de um dispositivo usando uma imagem de backup, a configuração de backup deverá ser revisada para garantir que não haja evidências de backdoors.
• Se possível, reduza a exposição a ataques externos e a superfície de ataque dos dispositivos NetScaler, restringindo o acesso de entrada apenas a intervalos de endereços IP de origem confiáveis ou predefinidos.
O conselho é justificado dado o histórico de exploração anterior de vulnerabilidades críticas da Citrix. Por exemplo, a Citrix divulgou e lançou um patch para uma vulnerabilidade 9.8 separada em 18 de julho. Três dias depois, de acordo com varreduras na Internet feitas pela organização de segurança Shadowserver, mais de 18.000 instâncias ainda não haviam aplicado a atualização crítica.
Nessa altura, de acordo com a Administração de Cibersegurança e Segurança de Infraestruturas dos EUA, a vulnerabilidade já estava sob exploração ativa. Nas semanas seguintes, Shadowserver e as empresas de segurança F-Secure e IBM Security Intelligence rastrearam milhares de explorações usadas para roubo de credenciais.
O que a orientação da Mandiant significa é o seguinte: se sua organização usa o NetScaler ADC ou o NetScaler Gateway local, você deve presumir que ele foi hackeado e seguir as orientações fornecidas. E sim, isso inclui primeiro o patch.
.
