E’ pubblico l’exploit per il bug critico di Citrix NetScaler ADC e Gateway. Scopriamo come funziona

È stato pubblicato un exploit PoC per la vulnerabilità Citrix Bleed ( CVE-2023-4966 ), che consente agli aggressori di intercettare i cookie di autenticazione della sessione dai dispositivi vulnerabili Citrix NetScaler ADC e NetScaler Gateway.

La vulnerabilità critica relativa alla divulgazione di informazioni remote CVE-2023-4966 (punteggio CVSS 9,6) è stata risolta il 10 ottobre 2023, ma in quel momento Citrix non ha fornito alcun dettaglio sul problema.

Come hanno presto avvertito i ricercatori di Mandiant , si è scoperto che dalla fine di agosto 2023 questo bug è stato utilizzato dagli aggressori in attacchi mirati utilizzando la vulnerabilità zero-day.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questa settimana, Citrix ha emesso un nuovo avviso agli amministratori (il terzo dalla prima informativa del bug critico) delle apparecchiature NetScaler ADC e Gateway, esortandoli a correggere immediatamente la vulnerabilità poiché i tentativi di sfruttarla iniziano ad aumentare.

Ora gli esperti di Assetnote hanno condiviso informazioni sul metodo di sfruttamento CVE-2023-4966 e pubblicato un exploit PoC su GitHub che mostra i risultati della loro ricerca e progettato per aiutare tutti coloro che desiderano verificare la presenza di vulnerabilità nei propri dispositivi.

È noto che la vulnerabilità CVE-2023-4966, denominata Citrix Bleed, opera senza autenticazione, è associata ad un buffer e colpisce i dispositivi Citrix NetScaler ADC e NetScaler Gateway utilizzati per il bilanciamento del carico, l’implementazione del firewall, la gestione del traffico, la VPN e l’autenticazione degli utenti.

Dopo aver analizzato le versioni senza patch (13.1-48.47) e con patch (13.1-49.15) di NetScaler, gli esperti di Assetnote hanno scoperto circa 50 modifiche nelle funzioni. Tra queste funzioni, ne sono state notate due (ns_aaa_oauth_send_openid_config e ns_aaa_oauthrp_send_openid_config) che contengono procedure aggiuntive di controllo dei limiti prima di generare risposte.

Queste funzioni utilizzavano snprintf per inserire i dati appropriati nel payload JSON generato per la configurazione OpenID. Nella versione senza patch la risposta veniva inviata immediatamente, senza alcun controllo. Cioè, la vulnerabilità è nata a causa di snprintf e, se sfruttata, potrebbe portare a una sovralettura del buffer.

Nella versione con patch, viene inviata una risposta solo se snprintf restituisce un valore inferiore a 0x20000.

Gli analisti di Assetnote hanno cercato di mettere in pratica le conoscenze acquisite e di attaccare gli endpoint NetScaler vulnerabili. Di conseguenza, hanno scoperto che il valore del nome host utilizzato per generare il payload veniva preso dall’intestazione dell’host HTTP e non richiedeva diritti di amministratore per accedervi. Inoltre, il nome host viene inserito nel payload sei volte, il che consente di superare il limite del buffer, costringendo l’endpoint a rispondere con il contenuto del buffer e della memoria adiacente.

“Abbiamo scoperto un gran numero di perdite di memoria immediatamente dopo il payload JSON”, scrivono gli esperti di Assetnote. “Sebbene la maggior parte fosse costituita da zero byte, nella risposta c’erano anche alcune informazioni dall’aspetto sospetto.”

Come risultato del ripetuto sfruttamento della vulnerabilità, gli analisti hanno costantemente identificato una stringa esadecimale lunga 32-65 byte, che rappresenta un cookie di sessione. L’ottenimento di questo cookie consente agli aggressori di prendere il controllo degli account di altre persone e ottenere accesso illimitato ai dispositivi vulnerabili.

Ora che l’exploit per Citrix Bleed è disponibile gratuitamente, il numero di attacchi a questa vulnerabilità aumenterà ancora più rapidamente. Pertanto, Shadowserver segnala già un aumento dei tentativi di sfruttamento, avvertendo che l’attività dannosa è già iniziata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.