Vulnerabilidade de Divulgação de Informações Sensíveis no NetScaler ADC e NetScaler Gateway (CVE-2023-4966)

A CVE-2023-4966 é uma vulnerabilidade de divulgação de informações sensíveis que afeta o Citrix NetScaler ADC e o NetScaler Gateway. A vulnerabilidade ocorre devido a um erro de buffer no código que trata de solicitações de autenticação. Um invasor pode explorar a vulnerabilidade enviando uma solicitação de autenticação malformada que causará um estouro de buffer. Isso pode levar à divulgação de informações sensíveis.

Como funciona a exploração:

A exploração da CVE-2023-4966 envolve o envio de uma solicitação de autenticação malformada para o NetScaler ADC ou NetScaler Gateway. A solicitação malformada contém uma string de entrada que é muito longa para caber no buffer designado. Isso causa um estouro de buffer, que pode ser usado para sobrescrever dados sensíveis na memória.

O invasor pode usar a vulnerabilidade para obter acesso a informações sensíveis, como:

Tokens de sessão: Os tokens de sessão são usados para autenticar usuários em um NetScaler ADC ou NetScaler Gateway. Se um invasor obtiver um token de sessão válido, ele poderá se autenticar no dispositivo como um usuário legítimo.

Senhas: As senhas são usadas para autenticar usuários em um NetScaler ADC ou NetScaler Gateway. Se um invasor obtiver uma senha válida, ele poderá acessar recursos protegidos no dispositivo.

Dados de configuração: Os dados de configuração são usados para controlar o comportamento de um NetScaler ADC ou NetScaler Gateway. Se um invasor obtiver dados de configuração sensíveis, ele poderá alterar o comportamento do dispositivo para fins maliciosos.

Como corrigir?

A Citrix lançou patches para corrigir a CVE-2023-4966. Os patches estão disponíveis para NetScaler ADC e NetScaler Gateway versões 14.1 e 13.1 nos links abaixo:

• NetScaler ADC 
• NetScaler Gateway

Além de atualizar o appliance NetScaler, a Citrix também recomenda que os administradores “matem” todas as sessões ativas e persistentes utilizando os seguintes comandos:

• kill icaconnection -all
• kill rdp connection -all
• kill pcoipConnection -all
• kill aaa session -all
• clear lb persistentSessions

Isso ajudará a encerrar qualquer sessão potencialmente comprometida e mitigar riscos enquanto o update não é aplicado.

Outro ponto importante é que appliances NetScaler ADC e NetScaler Gateway que não estejam configurados como gateways (VPN, ICA Proxy, etc) ou como servidores AAA não são afetados pela vulnerabilidade CVE-2023-4966.

Conclusão:

A rápida atualização, reset de sessões e monitoramento rigoroso são cruciais para mitigar riscos graves como o representado pela vulnerabilidade CVE-2023-4966 no Citrix NetScaler. Mantenha sua postura de segurança robusta para evitar explorações, mesmo diante de ameaças zero-day emergentes.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui