E’ pubblico l’exploit per il bug critico di Citrix NetScaler ADC e Gateway. Scopriamo come funziona

Redazione RHC : 27 Ottobre 2023 09:02

È stato pubblicato un exploit PoC per la vulnerabilità Citrix Bleed ( CVE-2023-4966 ), che consente agli aggressori di intercettare i cookie di autenticazione della sessione dai dispositivi vulnerabili Citrix NetScaler ADC e NetScaler Gateway.

La vulnerabilità critica relativa alla divulgazione di informazioni remote CVE-2023-4966 (punteggio CVSS 9,6) è stata risolta il 10 ottobre 2023, ma in quel momento Citrix non ha fornito alcun dettaglio sul problema.

Come hanno presto avvertito i ricercatori di Mandiant , si è scoperto che dalla fine di agosto 2023 questo bug è stato utilizzato dagli aggressori in attacchi mirati utilizzando la vulnerabilità zero-day.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questa settimana, Citrix ha emesso un nuovo avviso agli amministratori (il terzo dalla prima informativa del bug critico) delle apparecchiature NetScaler ADC e Gateway, esortandoli a correggere immediatamente la vulnerabilità poiché i tentativi di sfruttarla iniziano ad aumentare.

Ora gli esperti di Assetnote hanno condiviso informazioni sul metodo di sfruttamento CVE-2023-4966 e pubblicato un exploit PoC su GitHub che mostra i risultati della loro ricerca e progettato per aiutare tutti coloro che desiderano verificare la presenza di vulnerabilità nei propri dispositivi.

È noto che la vulnerabilità CVE-2023-4966, denominata Citrix Bleed, opera senza autenticazione, è associata ad un buffer e colpisce i dispositivi Citrix NetScaler ADC e NetScaler Gateway utilizzati per il bilanciamento del carico, l’implementazione del firewall, la gestione del traffico, la VPN e l’autenticazione degli utenti.

Dopo aver analizzato le versioni senza patch (13.1-48.47) e con patch (13.1-49.15) di NetScaler, gli esperti di Assetnote hanno scoperto circa 50 modifiche nelle funzioni. Tra queste funzioni, ne sono state notate due (ns_aaa_oauth_send_openid_config e ns_aaa_oauthrp_send_openid_config) che contengono procedure aggiuntive di controllo dei limiti prima di generare risposte.

Queste funzioni utilizzavano snprintf per inserire i dati appropriati nel payload JSON generato per la configurazione OpenID. Nella versione senza patch la risposta veniva inviata immediatamente, senza alcun controllo. Cioè, la vulnerabilità è nata a causa di snprintf e, se sfruttata, potrebbe portare a una sovralettura del buffer.

Nella versione con patch, viene inviata una risposta solo se snprintf restituisce un valore inferiore a 0x20000.

Gli analisti di Assetnote hanno cercato di mettere in pratica le conoscenze acquisite e di attaccare gli endpoint NetScaler vulnerabili. Di conseguenza, hanno scoperto che il valore del nome host utilizzato per generare il payload veniva preso dall’intestazione dell’host HTTP e non richiedeva diritti di amministratore per accedervi. Inoltre, il nome host viene inserito nel payload sei volte, il che consente di superare il limite del buffer, costringendo l’endpoint a rispondere con il contenuto del buffer e della memoria adiacente.

“Abbiamo scoperto un gran numero di perdite di memoria immediatamente dopo il payload JSON”, scrivono gli esperti di Assetnote. “Sebbene la maggior parte fosse costituita da zero byte, nella risposta c’erano anche alcune informazioni dall’aspetto sospetto.”

Come risultato del ripetuto sfruttamento della vulnerabilità, gli analisti hanno costantemente identificato una stringa esadecimale lunga 32-65 byte, che rappresenta un cookie di sessione. L’ottenimento di questo cookie consente agli aggressori di prendere il controllo degli account di altre persone e ottenere accesso illimitato ai dispositivi vulnerabili.

Ora che l’exploit per Citrix Bleed è disponibile gratuitamente, il numero di attacchi a questa vulnerabilità aumenterà ancora più rapidamente. Pertanto, Shadowserver segnala già un aumento dei tentativi di sfruttamento, avvertendo che l’attività dannosa è già iniziata.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli