Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

E’ pubblico l’exploit per il bug critico di Citrix NetScaler ADC e Gateway. Scopriamo come funziona

Redazione RHC : 27 Ottobre 2023 09:02

È stato pubblicato un exploit PoC per la vulnerabilità Citrix Bleed ( CVE-2023-4966 ), che consente agli aggressori di intercettare i cookie di autenticazione della sessione dai dispositivi vulnerabili Citrix NetScaler ADC e NetScaler Gateway.

La vulnerabilità critica relativa alla divulgazione di informazioni remote CVE-2023-4966 (punteggio CVSS 9,6) è stata risolta il 10 ottobre 2023, ma in quel momento Citrix non ha fornito alcun dettaglio sul problema.

Come hanno presto avvertito i ricercatori di Mandiant , si è scoperto che dalla fine di agosto 2023 questo bug è stato utilizzato dagli aggressori in attacchi mirati utilizzando la vulnerabilità zero-day.

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Questa settimana, Citrix ha emesso un nuovo avviso agli amministratori (il terzo dalla prima informativa del bug critico) delle apparecchiature NetScaler ADC e Gateway, esortandoli a correggere immediatamente la vulnerabilità poiché i tentativi di sfruttarla iniziano ad aumentare.

Ora gli esperti di Assetnote hanno condiviso informazioni sul metodo di sfruttamento CVE-2023-4966 e pubblicato un exploit PoC su GitHub che mostra i risultati della loro ricerca e progettato per aiutare tutti coloro che desiderano verificare la presenza di vulnerabilità nei propri dispositivi.

È noto che la vulnerabilità CVE-2023-4966, denominata Citrix Bleed, opera senza autenticazione, è associata ad un buffer e colpisce i dispositivi Citrix NetScaler ADC e NetScaler Gateway utilizzati per il bilanciamento del carico, l’implementazione del firewall, la gestione del traffico, la VPN e l’autenticazione degli utenti.

Dopo aver analizzato le versioni senza patch (13.1-48.47) e con patch (13.1-49.15) di NetScaler, gli esperti di Assetnote hanno scoperto circa 50 modifiche nelle funzioni. Tra queste funzioni, ne sono state notate due (ns_aaa_oauth_send_openid_config e ns_aaa_oauthrp_send_openid_config) che contengono procedure aggiuntive di controllo dei limiti prima di generare risposte.

Queste funzioni utilizzavano snprintf per inserire i dati appropriati nel payload JSON generato per la configurazione OpenID. Nella versione senza patch la risposta veniva inviata immediatamente, senza alcun controllo. Cioè, la vulnerabilità è nata a causa di snprintf e, se sfruttata, potrebbe portare a una sovralettura del buffer.

Nella versione con patch, viene inviata una risposta solo se snprintf restituisce un valore inferiore a 0x20000.

Gli analisti di Assetnote hanno cercato di mettere in pratica le conoscenze acquisite e di attaccare gli endpoint NetScaler vulnerabili. Di conseguenza, hanno scoperto che il valore del nome host utilizzato per generare il payload veniva preso dall’intestazione dell’host HTTP e non richiedeva diritti di amministratore per accedervi. Inoltre, il nome host viene inserito nel payload sei volte, il che consente di superare il limite del buffer, costringendo l’endpoint a rispondere con il contenuto del buffer e della memoria adiacente.

“Abbiamo scoperto un gran numero di perdite di memoria immediatamente dopo il payload JSON”, scrivono gli esperti di Assetnote. “Sebbene la maggior parte fosse costituita da zero byte, nella risposta c’erano anche alcune informazioni dall’aspetto sospetto.”

Come risultato del ripetuto sfruttamento della vulnerabilità, gli analisti hanno costantemente identificato una stringa esadecimale lunga 32-65 byte, che rappresenta un cookie di sessione. L’ottenimento di questo cookie consente agli aggressori di prendere il controllo degli account di altre persone e ottenere accesso illimitato ai dispositivi vulnerabili.

Ora che l’exploit per Citrix Bleed è disponibile gratuitamente, il numero di attacchi a questa vulnerabilità aumenterà ancora più rapidamente. Pertanto, Shadowserver segnala già un aumento dei tentativi di sfruttamento, avvertendo che l’attività dannosa è già iniziata.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009