Citrix ADC and Citrix Gateway (CVE-2023-3519, CVE-2023-3466, CVE-2023-3467)

Se han descubierto múltiples vulnerabilidades en NetScaler ADC (anteriormente Citrix ADC) y NetScaler Gateway (anteriormente Citrix Gateway).
Las siguientes versiones compatibles de NetScaler ADC y NetScaler Gateway se ven afectadas por las vulnerabilidades:
• NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13
• NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13
• NetScaler ADC 13.1-FIPS before 13.1-37.159
• NetScaler ADC 12.1-FIPS before 12.1-55.297
• NetScaler ADC 12.1-NDcPP before 12.1-55.297

Nota: NetScaler ADC y NetScaler Gateway versión 12.1 ahora están al final de su vida útil (EOL) y son vulnerables.

Se han observado exploits de CVE-2023-3519 en dispositivos no mitigados. Cloud Software Group insta encarecidamente a los clientes afectados de NetScaler ADC y NetScaler Gateway a que instalen las versiones actualizadas pertinentes lo antes posible.
• NetScaler ADC y NetScaler Gateway 13.1-49.13 y versiones posteriores
• NetScaler ADC y NetScaler Gateway 13.0-91.13 y versiones posteriores de 13.0
• NetScaler ADC 13.1-FIPS 13.1-37.159 y versiones posteriores de 13.1-FIPS
• NetScaler ADC 12.1-FIPS 12.1-55.297 y versiones posteriores de 12.1-FIPS
• NetScaler ADC 12.1-NDcPP 12.1-55.297 y versiones posteriores de 12.1-NDcPP

Nota: NetScaler ADC y NetScaler Gateway versión 12.1 ahora están al final de su vida útil (EOL). Se recomienda a los clientes que actualicen sus dispositivos a una de las versiones compatibles que abordan las vulnerabilidades.

Compartimos mayor contexto sobre la explotación de la vulnerabilidad De las tres vulnerabilidades:
CVE-2023-3519 es la más grave, ya que la explotación exitosa permite a un atacante no autenticado ejecutar código de forma remota en sistemas vulnerables que estén configurados como Gateway.
Para dimensionar el impacto, desde Internet se pueden identificar alrededor de 57,980 instancias expuestas, para Iberoamérica se muestran cerca de 1.915 instancias potencialmente vulnerables.

Descripción puntual de las vulnerabilidades:
• CVE-2023-3466: Es una vulnerabilidad de XSS reflejado, la explotación exitosa requiere que la víctima acceda a un enlace controlado por el atacante en el navegador mientras está en una red con conectividad a Netscaler IP (NSIP).
• CVE-2023-3467: Permite la escalada de privilegios a administrador root (nsroot).
• CVE-2023-3519: Permite la ejecución de código remoto no autenticado, se debe tener en cuenta, que el dispositivo debe estar configurado como puerta de enlace o Gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP o servidor virtual AAA).

Versiones Afectadas

Este boletín solo se aplica a NetScaler ADC y NetScaler Gateway administrados por el cliente. Los clientes que utilizan servicios en la nube administrados por Citrix o Adaptive Authentication administrados por Citrix no necesitan realizar ninguna acción.

CVE ID	Productos afectados	Descripcion	Pre-requisitos	CVSS
CVE-2023-3519	Citrix ADC, Citrix Gateway	Unauthenticated remote code execution	Appliance must be configured as a Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server	9.8
CVE-2023-3466	Citrix ADC, Citrix Gateway	Reflected Cross-Site Scripting (XSS)	Requires victim to access an attacker-controlled link in the browser while being on a network with connectivity to the NSIP	8.3
CVE-2023-3467	Citrix ADC, Citrix Gateway	Privilege Escalation to root administrator (nsroot)	Authenticated access to NSIP or SNIP with management interface access	8

Recomendaciones

Contramedidas para los sistemas afectados:
• Mi recomendación con respecto a la acción cuando el sistema se ha dañado.
• Eliminar la instancia de NetScaler de la red • Cambia la contraseña de todas las cuentas LDAP u otras cuentas AD/red almacenadas en NetScaler.
• Emite un nuevo certificado SSL y un archivo de clave para todos los archivos SSL del cliente en el dispositivo (las claves se almacenan en archivos en NetScaler, que teóricamente podría leer el atacante).
• Si se trata de un dispositivo VPX y hay instantáneas del dispositivo (con más de 3 meses de antigüedad), puede valer la pena restaurarlas primero, pero esto NO ES GARANTÍA de seguridad.
• Para estar seguro, exporte el archivo de configuración del sistema afectado y cópielo o restáurelo en un nuevo dispositivo VPX nuevo.
• Tenga en cuenta que se usa la misma dirección de hardware; de lo contrario, la licencia no es válida y debe solicitarse/importarse nuevamente.
• Desconecta la red antes del inicio.
• Inicia el dispositivo y verifica a través de la consola que el VPX no está comprometido.
• Cambia la contraseña de nsroot.
• Conectar solo la red interna.
• Conectar la red externa.
• Mantiene un ojo en los registros y los golpes de respuesta.
• Reemplaza los certificados SSL en el dispositivo lo antes posible.
• Revoca los certificados SSL comprometidos y las claves SSL.

Referencias

• https://nvd.nist.gov/vuln/detail/CVE-2023-3519
• https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-forcve20233519-cve20233466-cve20233467
• https://www.cronup.com/cve-2023-3519-nuevo-0day-critico-para-citrix-adc-y-citrix-gateway-rce-noautenticado/
• https://www.deyda.net/index.php/en/2023/07/19/checklist-for-citrix-adc-cve-2023-3519/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios