最后更新于2023年10月27日(星期五)16:50:27 GMT
2023年10月10日,思杰 发表咨询意见 关于影响NetScaler ADC和NetScaler网关的两个漏洞. 这两个问题中更关键的是CVE-2023-4966, 一个敏感的信息泄露漏洞,允许攻击者在缓冲区结束后读取大量内存. 值得注意的是, 该内存包括会话令牌, 哪一个允许攻击者冒充另一个经过身份验证的用户. 10月17日, 思杰(Citrix)更新了警告,表明他们已经观察到在野外的开发. 美国.S. 网络安全和基础设施安全局(CISA)也有 添加cve - 2023 - 4966 到他们的已知利用漏洞(KEV)目录.
2023年10月25日,安全公司Assetnote 发布分析,包括概念验证,演示如何窃取会话令牌. 从此,Shadowserver 注意到扫描的上升了吗 对于那个端点. Rapid7 耐多药正在调查该漏洞在客户环境中的潜在利用,但尚未能够高度肯定CVE-2023-4966是最初的访问媒介.
Rapid7建议采取紧急措施来缓解CVE-2023-4966. 威胁的演员, 包括勒索软件组织, 是否一直对思杰NetScaler ADC漏洞表现出浓厚的兴趣. 我们预计剥削会增加. 我们的研究团队 技术评估 该漏洞及其在攻击知识库中的影响.
受影响的产品
Citrix 发表博客 10月23日发布的,包含了利用和缓解细节. 他们的 咨询 表示CVE-2023-4966影响以下支持的NetScaler ADC和NetScaler网关版本:
* NetScaler ADC和NetScaler网关.前1 14.1-8.50
* NetScaler ADC和NetScaler网关.前1 13.1-49.15
* NetScaler ADC和NetScaler网关.0 前13.0-92.19
* NetScaler ADC 13.1-FIPS前13.1-37.164
* NetScaler ADC 12.1-FIPS之前12.1-55.300
* NetScaler ADC 12.1-NDcPP前12.1-55.300
注意: NetScaler ADC和NetScaler网关版本12.1现在是生命终止(EOL),很脆弱.
为了被利用, 设备必须配置为网关(VPN)虚拟服务器, ICA代理, CVPN, RDP代理)或AAA 虚拟 服务器(这是一个非常常见的配置). Citrix表示,使用Citrix管理的云服务或自适应认证的客户不需要采取任何行动.
缓解指导
Citrix NetScaler ADC和网关用户应立即更新到固定版本, 无需等待典型的补丁周期发生. 此外,Citrix的 关于CVE-2023-4966的博客 建议使用以下命令终止所有活动和持久会话:
杀死所有连接
终止RDP连接-all
kill pcoipConnection -all
取消aaa级会话
清除lb persistentSessions
有关更多信息,请参阅Citrix的 咨询.
Rapid7客户
InsightVM和expose的客户可以在Citrix的建议(CVE-2023-4966)中评估他们对这两个cve的暴露程度, CVE-2023-4967),在10月23日的内容发布中提供了经过身份验证的漏洞检查.
