Citrix, una nota multinazionale famosa per le sue tecnologie in ambito informatico (server, cloud, nertowrking e quant’altro) avverte dell’exploit di una vulnerabilità di sicurezza critica recentemente divulgata nelle apparecchiature NetScaler ADC e Gateway, che potrebbe portare alla divulgazione di informazioni sensibili.
Quali sono le 7 vulnerabilità di Citrix identificate su prodotti NetScaler
Identificata come CVE-2023-4966 (CVSS score: 9.4), la vulnerabilità riguarda le seguenti versioni supportate:
- NetScaler ADC e NetScaler Gateway 14.1 prima della versione 14.1-8.50
- NetScaler ADC e NetScaler Gateway 13.1 prima della versione 13.1-49.15
- NetScaler ADC e NetScaler Gateway 13.0 prima della versione 13.0-92.19
- NetScaler ADC e NetScaler Gateway 12.1 (attualmente fuori servizio)
- NetScaler ADC 13.1-FIPS prima della versione 13.1-37.164
- NetScaler ADC 12.1-FIPS prima della versione 12.1-55.300
- NetScaler ADC 12.1-NDcPP prima della versione 12.1-55.300
Tuttavia, affinché avvenga lo sfruttamento delle vulnerabilità appena elencate, è necessario che il dispositivo sia configurato come Gateway (server virtuale VPN, proxy ICA, CVPN, proxy RDP) o server virtuale di autorizzazione e contabilità (authorization and accounting o AAA).
Sebbene le patch per questa falla siano stati rilasciati il 10 ottobre 2023, Citrix ha ora rivisto l’avviso per notare che “sono stati osservati sfruttamenti di CVE-2023-4966 su dispositivi non sistemati”.
Mandiant, di proprietà di Google, nel proprio avviso pubblicato martedì, ha affermato di aver identificato lo sfruttamento zero-day della vulnerabilità a partire dalla fine di agosto 2023.
“L’exploit riuscito potrebbe comportare la possibilità di dirottare sessioni autenticate esistenti, aggirando quindi l’autenticazione multi-fattore o altri requisiti di autenticazione robusta“, ha dichiarato la società di intelligence di casa Google sulle minacce informatiche dei dispositivi di Citrix, ed ha dunque aggiunto “Queste sessioni possono persistere anche dopo che è stato distribuito l’aggiornamento per mitigare CVE-2023-4966.”
Mandiant ha anche dichiarato di aver rilevato il “dirottamento” delle sessioni, nelle quali i dati della sessione sono stati rubati prima dell’applicazione del patch e successivamente utilizzati da qualche malintenzionato che rimane nell’ombra.
“Il dirottamento delle sessioni autenticate potrebbe quindi portare a un ulteriore accesso basato sulle autorizzazioni e sullo scopo di accesso che è stato concesso all’identità o alla sessione”, ha successivamente detto Mandiant, e ha ulteriormente aggiunto “Un malintenzionato potrebbe utilizzare questo metodo per raccogliere credenziali aggiuntive, pivotare lateralmente e ottenere accesso a risorse aggiuntive all’interno di un ambiente.”
Non è stato identificato chi è l’autore (o gli autori) dietro gli attacchi informatici, ma si pensa che la campagna abbia preso di mira servizi professionali, organizzazioni tecnologiche e governative.
Alla luce dell’abuso attivo della vulnerabilità e delle vulnerabilità di Citrix che attirano sempre più l’attenzione dei criminali informatici, è tassativo che gli utenti si affrettino a aggiornare le loro istanze alla versione più recente per mitigare le minacce potenziali, sì gli aggiornamenti, quielle cose che a molti non piacciono ma che invece andrebbero fatte.
“Le organizzazioni devono fare più che semplicemente applicare il patch, dovrebbero anche terminare tutte le sessioni attive“, ha detto il CTO di Mandiant, Charles Carmakal. “Anche se questa non è una vulnerabilità di esecuzione remota del codice, si prega di dare priorità alla distribuzione di questo patch data l’attivo sfruttamento e la criticità della vulnerabilità.”
Due considerazioni sugli aggiornamenti
Dato che, come appena accennato, molti non fanno gli aggiornamenti e in alcuni casi appena comprano un PC ed un telefono li bloccano, pensando di fare una furbata, questo è solo uno degli innumerevoli esempi del fatto che, molto spesso, tanto furbata annullarli non è.
È vero che in alcun i casi possono dare problemi, ma è altrettanto vero che sul sito della ditta molto spesso c’è pure scritto se è meglio evitare di farli ed eventualmente aspettare, nel caso di queste 7 vulnerabiliti di Citrix come appena visto è meglio ascoltare il consiglio della ditta.
