Ribuan server ADC dan Gateway Citrix Netscaler yang terpapar secara online kemungkinan besar rentan terhadap bug eksekusi kode jarak jauh (RCE) kritis yang dieksploitasi oleh penyerang yang tidak diautentikasi di alam liar sebagai zero-day.
Peneliti keamanan dari Shadowserver Foundation, sebuah organisasi nirlaba yang didedikasikan untuk meningkatkan keamanan internet, terungkap minggu ini bahwa setidaknya 15.000 peralatan diidentifikasi sebagai terpapar serangan memanfaatkan cacat (CVE-2023-3519) berdasarkan informasi versi mereka.
“Kami menandai semua IP di mana kami melihat hash versi dalam instance Citrix. Ini karena Citrix telah menghapus informasi hash versi dalam revisi terbaru,” Shadowserver dikatakan.
“Dengan demikian aman untuk mengasumsikan dalam pandangan kami semua contoh yang masih menyediakan hash versi belum diperbarui dan mungkin rentan.”
Mereka juga mencatat bahwa mereka juga kurang menghitung karena beberapa revisi diketahui rentan tetapi tanpa hash versi belum diberi tag dan ditambahkan ke jumlah total server Citrix yang terbuka.
Citrix merilis pembaruan keamanan untuk mengatasi kerentanan RCE ini pada 18 Juli, dengan mengatakan bahwa “eksploitasi CVE-2023-3519 pada peralatan yang tidak tanggung-tanggung telah diamati” dan mendesak pelanggan untuk memasang tambalan sesegera mungkin.
Perusahaan menambahkan bahwa peralatan Netscaler yang belum ditambal harus dikonfigurasi sebagai gateway (server virtual VPN, Proksi ICA, CVPN, Proksi RDP) atau server virtual autentikasi (disebut server AAA) agar rentan terhadap serangan.
CVE-2023-3519 RCE zero-day kemungkinan tersedia secara online sejak minggu pertama bulan Juli ketika aktor ancaman mulai mengiklankan kelemahan zero-day Citrix ADC di forum peretas.
BleepingComputer juga mengetahui bahwa Citrix telah mengetahui tentang iklan zero-day dan sedang mengerjakan tambalan sebelum membuat pengungkapan resmi.
Pada hari yang sama, Citrix menambal dua kerentanan dengan tingkat keparahan tinggi lainnya yang dilacak sebagai CVE-2023-3466 dan CVE-2023-3467.
Yang pertama memungkinkan penyerang untuk meluncurkan serangan skrip lintas situs (XSS) tercermin dengan mengelabui target di jaringan yang sama agar memuat tautan jahat di browser web, sedangkan yang terakhir memungkinkan untuk meningkatkan hak istimewa untuk mendapatkan izin root.
Sementara yang kedua jauh lebih berdampak, itu juga membutuhkan akses yang diautentikasi ke antarmuka manajemen peralatan yang rentan melalui alamat IP (NSIP) atau SubNet IP (SNIP) mereka.
CISA juga memerintahkan agen federal AS pada hari Rabu untuk mengamankan server Citrix di jaringan mereka terhadap serangan yang sedang berlangsung pada tanggal 9 Agustus, memperingatkan bahwa bug tersebut telah digunakan untuk menembus sistem organisasi infrastruktur penting AS.
“Pada Juni 2023, pelaku ancaman mengeksploitasi kerentanan ini sebagai zero-day untuk menjatuhkan webshell pada alat NetScaler ADC organisasi infrastruktur penting,” kata CISA dalam sebuah pernyataan. penasehat terpisah diterbitkan pada hari Kamis.
“Webshell memungkinkan pelaku untuk melakukan penemuan pada direktori aktif (AD) korban dan mengumpulkan serta mengekstraksi data AD. Pelaku berusaha untuk berpindah secara lateral ke pengontrol domain tetapi kontrol segmentasi jaringan untuk alat tersebut memblokir pergerakan.”
