È stato pubblicato un exploitPoC per la vulnerabilità Citrix Bleed ( CVE-2023-4966 ), che consente agli aggressori di intercettare i cookie di autenticazione della sessione dai dispositivi vulnerabili Citrix NetScaler ADC e NetScaler Gateway.
La vulnerabilità critica relativa alla divulgazione di informazioni remote CVE-2023-4966 (punteggio CVSS 9,6) è stata risolta il 10 ottobre 2023, ma in quel momento Citrix non ha fornito alcun dettaglio sul problema.
Come hanno presto avvertito i ricercatori di Mandiant , si è scoperto che dalla fine di agosto 2023 questo bug è stato utilizzato dagli aggressori in attacchi mirati utilizzando la vulnerabilità zero-day.
Advertising
Questa settimana, Citrix ha emesso un nuovo avviso agli amministratori (il terzo dalla prima informativa del bug critico) delle apparecchiature NetScaler ADC e Gateway, esortandoli a correggere immediatamente la vulnerabilità poiché i tentativi di sfruttarla iniziano ad aumentare.
Ora gli esperti di Assetnote hanno condiviso informazioni sul metodo di sfruttamento CVE-2023-4966 e pubblicato un exploit PoC su GitHub che mostra i risultati della loro ricerca e progettato per aiutare tutti coloro che desiderano verificare la presenza di vulnerabilità nei propri dispositivi.
È noto che la vulnerabilità CVE-2023-4966, denominata Citrix Bleed, opera senza autenticazione, è associata ad un buffer e colpisce i dispositivi Citrix NetScaler ADC e NetScaler Gateway utilizzati per il bilanciamento del carico, l’implementazione del firewall, la gestione del traffico, la VPN e l’autenticazione degli utenti.
Dopo aver analizzato le versioni senza patch (13.1-48.47) e con patch (13.1-49.15) di NetScaler, gli esperti di Assetnote hanno scoperto circa 50 modifiche nelle funzioni. Tra queste funzioni, ne sono state notate due (ns_aaa_oauth_send_openid_config e ns_aaa_oauthrp_send_openid_config) che contengono procedure aggiuntive di controllo dei limiti prima di generare risposte.
Queste funzioni utilizzavano snprintf per inserire i dati appropriati nel payload JSON generato per la configurazione OpenID. Nella versione senza patch la risposta veniva inviata immediatamente, senza alcun controllo. Cioè, la vulnerabilità è nata a causa di snprintf e, se sfruttata, potrebbe portare a una sovralettura del buffer.
Advertising
Nella versione con patch, viene inviata una risposta solo se snprintf restituisce un valore inferiore a 0x20000.
Gli analisti di Assetnote hanno cercato di mettere in pratica le conoscenze acquisite e di attaccare gli endpoint NetScaler vulnerabili. Di conseguenza, hanno scoperto che il valore del nome host utilizzato per generare il payload veniva preso dall’intestazione dell’host HTTP e non richiedeva diritti di amministratore per accedervi. Inoltre, il nome host viene inserito nel payload sei volte, il che consente di superare il limite del buffer, costringendo l’endpoint a rispondere con il contenuto del buffer e della memoria adiacente.
“Abbiamo scoperto un gran numero di perdite di memoria immediatamente dopo il payload JSON”, scrivono gli esperti di Assetnote. “Sebbene la maggior parte fosse costituita da zero byte, nella risposta c’erano anche alcune informazioni dall’aspetto sospetto.”
Come risultato del ripetuto sfruttamento della vulnerabilità, gli analisti hanno costantemente identificato una stringa esadecimale lunga 32-65 byte, che rappresenta un cookie di sessione. L’ottenimento di questo cookie consente agli aggressori di prendere il controllo degli account di altre persone e ottenere accesso illimitato ai dispositivi vulnerabili.
Ora che l’exploit per Citrix Bleed è disponibile gratuitamente, il numero di attacchi a questa vulnerabilità aumenterà ancora più rapidamente. Pertanto, Shadowserver segnala già un aumento dei tentativi di sfruttamento, avvertendo che l’attività dannosa è già iniziata.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.
Aree di competenza:Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Docente: Pietro Melillo, PhD presso l’Università del Sannio e docente presso IUSI University
Livello: Intermedio
Durata: 15 ore in Live Class con docente dal vivo
Prerequisiti: Navigazione Internet e conoscenze base di sicurezza informatica
Certificazione : Cyber Threat Intelligence Professional (CTIP) previo superamento dell’esame finale
Opportunità post-corso: Accesso al laboratorio operativo DarkLab per attività pratiche di intelligence
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
