Scoperti exploit per il bug di Citrix NetScaler ADC e Gateway. Sistemi infetti da Agosto scorso: dopo la patch terminare le sessioni

Redazione RHC : 19 Ottobre 2023 09:18

Citrix avverte di una vulnerabilità critica recentemente scoperta nei dispositivi NetScaler ADC e Gateway potrebbe esporre informazioni sensibili. Il difetto, identificato come CVE-2023-4966 (CVSS: 9.4), è stato scoperto e corretto in ottobre.

Tuttavia, per un funzionamento corretto, il dispositivo deve essere configurato come gateway (VPN , proxy ICA , CVPN , proxy RDP) o server virtuale di AAA.

Sebbene le patch per la vulnerabilità siano state rilasciate il 10 ottobre, Citrix ha ora rivisto il suo avviso, rilevando che gli exploit CVE-2023-4966 sono stati scoperti su dispositivi privi di patch.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Mandiant ha inoltre scoperto che dalla fine di agosto che veniva sfruttata una vulnerabilità zero-day. Secondo l’azienda, uno sfruttamento efficace potrebbe portare all’intercettazione di sessioni attive, aggirando l’autenticazione a più fattori (MFA). In questo caso le sessioni possono essere conservate anche dopo l’aggiornamento.

L’intercettazione di una sessione autenticata può quindi consentire un ulteriore accesso in base alle autorizzazioni, consentendo al criminale informatico di raccogliere credenziali aggiuntive, eseguire movimenti laterali e ottenere l’accesso ad altre risorse nell’ambiente.

Mandiant ha inoltre affermato di aver scoperto un dirottamento della sessione, in cui i dati della sessione venivano rubati prima che la patch fosse installata e successivamente utilizzati da un aggressore non identificato.

La fonte della minaccia dietro gli attacchi non è stata determinata, ma secondo quanto riferito la campagna ha preso di mira servizi professionali e organizzazioni governative.

Alla luce dell’abuso attivo di questa vulnerabilità, è fondamentale che gli utenti aggiornino rapidamente le proprie istanze alla versione più recente per mitigare potenziali minacce. 

I ricercatori Mandiant hanno raccomandato alle organizzazioni non solo di applicare le patch, ma anche di terminare tutte le sessioni attive. Gli esperti hanno inoltre ricordato che gli utenti dovrebbero dare la giusta priorità alle patch, tenendo conto dello sfruttamento attivo e del livello di gravità della vulnerabilità.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.