Logo
Hamburger Menu Icon
Yoroi Background

Vulnerabilità critica su Citrix sfruttata da LockBit 

11/23/2023

PROTO: N231122 

CERT Yoroi informa riguardo una vulnerabilità critica che affligge la tecnologia Citrix NetScaler ADC e NetScaler Gateway. 

L'appliance NetScaler è uno switch applicativo che esegue l'analisi del traffico specifico dell'applicazione per distribuire, ottimizzare e proteggere in modo intelligente il traffico di rete Layer 4-Layer 7 (L4-L7) per le applicazioni web, mentre NetScaler Gateway (ex Citrix Gateway) è un gateway di accesso con soluzione SSL VPN, che fornisce single sign-on (SSO) e autenticazione per gli utenti finali remoti delle risorse di rete.  

Nel bollettino ufficiale di sicurezza, il vendor sottolinea come siano presenti due vulnerabilità, nello specifico: 

La falla più grave è la CVE-2023-4966 la quale risulta essere una vulnerabilità di tipo Sensitive Information Disclosure, che permetterebbe ad un attaccante privo di autenticazione di accedere ad informazioni sensibili come password, nomi utente, email, ecc. sulle istanze Citrix vulnerabili, ribattezzata anche “Citrix Bleed” data la sua gravità.  

Un proof-of-concept (PoC) pubblico dimostra l’esatta posizione della vulnerabilità in oggetto all’interno delle tecnologie. I ricercatori di Assetnote, a cui si attribuisce il disclosure,  hanno condiviso ulteriori dettagli sul metodo di sfruttamento, scoprendo dal confronto fra la versione vulnerabile e quella patchata la differenza di codice su 50 funzioni specifiche. 

In particolare, e funzioni che sono la causa della falla sono “ns_aaa_oauth_send_openid_config” e “ns_aaa_oauthrp_send_openid_config”, le quali sono entrambe accessibili senza autenticazione tramite gli endpoint “/oauth/idp/.well-known/openid-configuration” e “/oauth/rp/.well-known/openid-configuration”

Nello specifico la funzione ns_aaa_oauth_send_openid_config genera un payload JSON per la configurazione OpenID e utilizza snprintf per inserire il nome dell'host del dispositivo nelle posizioni appropriate del payload. Nella versione originale, la risposta viene inviata immediatamente. Nella versione patchata, la risposta viene inviata solo se snprintf restituisce un valore inferiore a 0x20000. 

Per sfruttarla, occorre fare in modo che la risposta superi la dimensione del buffer di 0x20000 byte, in modo tale che l'applicazione rispondi con il buffer completamente riempito, più la memoria immediatamente successiva al buffer print_temp_rule composta anche dai cookie della sessione di autenticazione. I token di sessione compromessi possono quindi essere utilizzati per impersonare sessioni attive, che bypassano l'autenticazione, anche multifattoriale, e ottengono l'accesso completo all'appliance. 

Inoltre, si vuole specificare però che l’exploit di questa vulnerabilità può avvenire a seguito di specifici prerequisiti, quali: 

  • Il device deve essere configurato come:  
    • VPN virtual server, ICA Proxy, CVPN, RDP Proxy 
    • AAA (authorization and accounting) Server 
  • Deve possedere una versione vulnerabile della tecnologia 

Nello stesso bollettino si rileva un’altra vulnerabilità riguardante i medesimi prodotti 

  • CVE-2023-4967: Una vulnerabilità di tipo “denial of service” in cui un utente malintenzionato fa esaurire deliberatamente le risorse di un sistema informatico fino a renderlo non più in grado di erogare il servizio ai client richiedenti. 

A seguito della criticità di tale falla, vengono disposte dal vendor le correzioni permanenti che sono disponibili per il download: 

In aggiunta, vengono emanate delle linee guida di mitigazione, quali: 

- Terminare tutte le sessioni attive e persistenti utilizzando i seguenti comandi: 

  • kill icaconnection -all 
  • kill rdp connection -all 
  • kill pcoipConnection -all 
  • kill aaa session -all 
  • clear lb persistentSessions 

- Verificare la presenza di richieste anomale contenenti caratteri non previsti (ad esempio una lunga sequenza di zeri) nel campo host dell’header attraverso l’analisi dei log di eventuali WAF/reverse proxy/etc verso l'applicativo ed indirizzate ai seguenti path: 

  • /oauth/idp/.well-known/openid-configuration 
  • /oauth/rp/.well-known/openid-configuration 

- Ricercare sessioni anomale aventi le seguenti caratteristiche: 

  • durata temporale della sessione non standard (es. sessione di lunga durata); 
  • accessi da diversi indirizzi IP (riscontrabile attraverso gli eventi TCPCONNSTAT presenti all'interno del file ns.log di Citrix NetScaler o all'interno dei syslog); 
  • presenza di nomi macchina che non rispettano le policy in uso nell'Organizzazione (riscontrabile esaminando la dashboard del componente Citrix Director, ove presente, o da chiavi di registro rinvenibili sulla VDA Citrix); 
  • valutare la possibilità di generare un dump della memoria dell'appliance Citrix NetScaler per analizzare l'eventuale presenza di tracce di esecuzione dell'exploit in memoria (N.B. tale procedura richiede il riavvio delle macchine). 

La gravità del possibile impatto di queste due vulnerabilità, secondo ricerche del nostro team di intelligence, è data dal fatto che, a fronte della pubblicazione del PoC, ci siano stati numerosi tentativi di exploit in the wild ed alcuni riusciti causanti danni di alta gravità. La gang ransomware LockBit, ad esempio, ha sfruttato questa vulnerabilità nel recente attacco a Boeing sottraendo informazioni importanti e chiedendo un riscatto per il ripristino dei dati. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index 

Riferimenti Esterni 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram