Sintesi
In riferimento al AL02/231023/CSIRT-ITA, al fine di contrastare gli attacchi volti allo sfruttamento della vulnerabilità CVE-2023-4966 (nota anche col nome di Citrix Bleed), lo CSIRT raccomanda a tutti i soggetti nazionali di procedere ad opportune verifiche e all’implementazione delle procedure di mitigazione.
Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.
Note: la CVE-2023-4966 risulta essere sfruttata attivamente in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (78,71/100)1.
Tipologia
- Information Disclosure
Descrizione
In riferimento al AL02/231023/CSIRT-ITA, al fine di identificare e contrastare gli attacchi volti allo sfruttamento della vulnerabilità CVE-2023-4966 (nota anche col nome di Citrix Bleed), si riportano, nella sezione Azioni di Mitigazione, le procedure di mitigazione e verifica raccomandate.
Tale vulnerabilità, di tipo “Buffer Overflow” e con score CVSS v3.1 pari a 9.4, qualora sfruttata, consente a un attaccante remoto non autenticato l’accesso a informazioni sensibili (nello specifico i token di autorizzazione) sui dispositivi NetScaler ADC e NetScaler, qualora configurati come Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) o AAA virtual server.
Prodotti e versioni affette
Citrix
- NetScaler ADC and NetScaler Gateway 14.1, versioni precedenti alla 14.1-8.50
- NetScaler ADC and NetScaler Gateway 13.1, versioni precedenti alla 13.1-49.15
- NetScaler ADC and NetScaler Gateway 13.0, versioni precedenti alla 13.0-92.19
- NetScaler ADC 13.1-FIPS, versioni precedenti alla 13.1-37.164
- NetScaler ADC 12.1-FIPS, versioni precedenti alla 12.1-55.300
- NetScaler ADC 12.1-NDcPP, versioni precedenti alla 12.1-55.300
Note:
- si evidenzia che per la versione 12.1 di NetScaler ADC e NetScaler il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOL);
- i servizi Citrix Cloud Services e Adaptive Authentication gestiti da Citrix non risultano vulnerabili alla vulnerabilità CVE-2023-4966.
Azioni di mitigazione
Si raccomanda – laddove non già effettuato in precedenza – di procedere alle seguenti verifiche e procedure di mitigazione:
– terminare tutte le sessioni attive e persistenti utilizzando i seguenti comandi:
kill icaconnection -all kill rdp connection -all kill pcoipConnection -all kill aaa session -all clear lb persistentSessions
– verificare la presenza di richieste anomale contenenti caratteri non previsti (ad esempio una lunga sequenza di zeri) nel campo host dell’header attraverso l’analisi dei log di eventuali WAF/reverse proxy/etc verso l’applicativo ed indirizzate ai seguenti path:
/oauth/idp/.well-known/openid-configuration /oauth/rp/.well-known/openid-configuration
– ricercare sessioni anomale aventi le seguenti caratteristiche:
- durata temporale della sessione non standard (es. sessione di lunga durata);
- accessi da diversi indirizzi IP (riscontrabile attraverso gli eventi TCPCONNSTAT presenti all’interno del file ns.log di Citrix NetScaler o all’interno dei syslog);
- presenza di nomi macchina che non rispettano le policy in uso nell’Organizzazione (riscontrabile esaminando la dashboard del componente Citrix Director, ove presente, o da chiavi di registro rinvenibili sulla VDA Citrix);
- valutare la possibilità di generare un dump della memoria dell’appliance Citrix NetScaler per analizzare l’eventuale presenza di tracce di esecuzione dell’exploit in memoria (N.B. tale procedura richiede il riavvio delle macchine).
Maggiori informazioni sulle azioni di mitigazioni e gli aggiornamenti dei prodotti vulnerabili, sono reperibili nei bollettini presenti nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://www.csirt.gov.it/contenuti/aggiornamenti-per-prodotti-citrix-al02-231011-csirt-ita
https://support.citrix.com/article/CTX575089/citrix-hypervisor-multiple-security-updates
https://docs.netscaler.com/en-us/citrix-adc-secure-deployment.html
https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966
https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.