È stato pubblicato un exploitPoC per la vulnerabilità Citrix Bleed ( CVE-2023-4966 ), che consente agli aggressori di intercettare i cookie di autenticazione della sessione dai dispositivi vulnerabili Citrix NetScaler ADC e NetScaler Gateway.
La vulnerabilità critica relativa alla divulgazione di informazioni remote CVE-2023-4966 (punteggio CVSS 9,6) è stata risolta il 10 ottobre 2023, ma in quel momento Citrix non ha fornito alcun dettaglio sul problema.
Come hanno presto avvertito i ricercatori di Mandiant , si è scoperto che dalla fine di agosto 2023 questo bug è stato utilizzato dagli aggressori in attacchi mirati utilizzando la vulnerabilità zero-day.
Christmas Sale -40%
𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Questa settimana, Citrix ha emesso un nuovo avviso agli amministratori (il terzo dalla prima informativa del bug critico) delle apparecchiature NetScaler ADC e Gateway, esortandoli a correggere immediatamente la vulnerabilità poiché i tentativi di sfruttarla iniziano ad aumentare.
Ora gli esperti di Assetnote hanno condiviso informazioni sul metodo di sfruttamento CVE-2023-4966 e pubblicato un exploit PoC su GitHub che mostra i risultati della loro ricerca e progettato per aiutare tutti coloro che desiderano verificare la presenza di vulnerabilità nei propri dispositivi.
È noto che la vulnerabilità CVE-2023-4966, denominata Citrix Bleed, opera senza autenticazione, è associata ad un buffer e colpisce i dispositivi Citrix NetScaler ADC e NetScaler Gateway utilizzati per il bilanciamento del carico, l’implementazione del firewall, la gestione del traffico, la VPN e l’autenticazione degli utenti.
Dopo aver analizzato le versioni senza patch (13.1-48.47) e con patch (13.1-49.15) di NetScaler, gli esperti di Assetnote hanno scoperto circa 50 modifiche nelle funzioni. Tra queste funzioni, ne sono state notate due (ns_aaa_oauth_send_openid_config e ns_aaa_oauthrp_send_openid_config) che contengono procedure aggiuntive di controllo dei limiti prima di generare risposte.
Queste funzioni utilizzavano snprintf per inserire i dati appropriati nel payload JSON generato per la configurazione OpenID. Nella versione senza patch la risposta veniva inviata immediatamente, senza alcun controllo. Cioè, la vulnerabilità è nata a causa di snprintf e, se sfruttata, potrebbe portare a una sovralettura del buffer.
Nella versione con patch, viene inviata una risposta solo se snprintf restituisce un valore inferiore a 0x20000.
Gli analisti di Assetnote hanno cercato di mettere in pratica le conoscenze acquisite e di attaccare gli endpoint NetScaler vulnerabili. Di conseguenza, hanno scoperto che il valore del nome host utilizzato per generare il payload veniva preso dall’intestazione dell’host HTTP e non richiedeva diritti di amministratore per accedervi. Inoltre, il nome host viene inserito nel payload sei volte, il che consente di superare il limite del buffer, costringendo l’endpoint a rispondere con il contenuto del buffer e della memoria adiacente.
“Abbiamo scoperto un gran numero di perdite di memoria immediatamente dopo il payload JSON”, scrivono gli esperti di Assetnote. “Sebbene la maggior parte fosse costituita da zero byte, nella risposta c’erano anche alcune informazioni dall’aspetto sospetto.”
Come risultato del ripetuto sfruttamento della vulnerabilità, gli analisti hanno costantemente identificato una stringa esadecimale lunga 32-65 byte, che rappresenta un cookie di sessione. L’ottenimento di questo cookie consente agli aggressori di prendere il controllo degli account di altre persone e ottenere accesso illimitato ai dispositivi vulnerabili.
Ora che l’exploit per Citrix Bleed è disponibile gratuitamente, il numero di attacchi a questa vulnerabilità aumenterà ancora più rapidamente. Pertanto, Shadowserver segnala già un aumento dei tentativi di sfruttamento, avvertendo che l’attività dannosa è già iniziata.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
Redazione
