آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز پنجشنبه هشداری صادر کرد و هشدار داد که نقص امنیتی حیاتی تازه فاش شده در کنترلر تحویل برنامه کاربردی Citrix NetScaler (ADC) و دستگاههای Gateway برای انداختن پوستههای وب روی سیستمهای آسیبپذیر مورد سوء استفاده قرار گرفته است.
آژانس گفت: «در ژوئن 2023، عوامل تهدید از این آسیبپذیری به عنوان یک روز صفر برای انداختن یک پوسته وب روی محیط غیرتولیدی یک سازمان زیرساختهای حیاتی NetScaler ADC استفاده کردند.
"پوسته وب بازیگران را قادر میسازد تا در دایرکتوری فعال قربانی (AD) اکتشاف کنند و دادههای AD را جمعآوری و استخراج کنند. بازیگران تلاش کردند به سمت یک کنترلکننده دامنه حرکت کنند اما کنترلهای تقسیمبندی شبکه برای دستگاه مانع از حرکت شدند."
کاستی مورد بحث CVE-2023-3519 (امتیاز CVSS: 9.8) است، یک اشکال تزریق کد که می تواند منجر به اجرای کد از راه دور تأیید نشده باشد. سیتریکس، اوایل این هفته، وصلههایی را برای این مشکل منتشر کرد و نسبت به بهرهبرداری فعال در طبیعت هشدار داد.
برای بهرهبرداری موفقیتآمیز، دستگاه بهعنوان یک Gateway (سرور مجازی VPN، ICA Proxy، CVPN، RDP Proxy) یا سرور مجازی تأیید هویت، مجوز و ممیزی (AAA) پیکربندی شده باشد.
CISA نام سازمانی را که تحت تأثیر این حادثه قرار گرفته است، اعلام نکرد. عامل تهدید یا کشوری که گفته می شود در پشت آن قرار دارد، در حال حاضر ناشناخته است.
آژانس اشاره کرد که تلاشهای بعدی دشمن برای حرکت جانبی در سراسر شبکه و همچنین اجرای دستورات برای شناسایی اهداف در دسترس و تأیید اتصال شبکههای خروجی به دلیل شیوههای قوی تقسیمبندی شبکه خنثی شد و افزود که بازیگران همچنین تلاش کردند تا مصنوعات خود را حذف کنند تا مسیرها را بپوشانند.
آسیبپذیریهای موجود در محصولات دروازهای مانند NetScaler ADC و NetScaler Gateway به اهداف محبوبی برای بازیگران تهدید تبدیل شدهاند که به دنبال دسترسی ممتاز به شبکههای هدف هستند. این امر ضروری است که کاربران به سرعت برای اعمال آخرین اصلاحات برای ایمن شدن در برابر تهدیدات احتمالی حرکت کنند.2
آژانس گفت: «در ژوئن 2023، عوامل تهدید از این آسیبپذیری به عنوان یک روز صفر برای انداختن یک پوسته وب روی محیط غیرتولیدی یک سازمان زیرساختهای حیاتی NetScaler ADC استفاده کردند.
"پوسته وب بازیگران را قادر میسازد تا در دایرکتوری فعال قربانی (AD) اکتشاف کنند و دادههای AD را جمعآوری و استخراج کنند. بازیگران تلاش کردند به سمت یک کنترلکننده دامنه حرکت کنند اما کنترلهای تقسیمبندی شبکه برای دستگاه مانع از حرکت شدند."
کاستی مورد بحث CVE-2023-3519 (امتیاز CVSS: 9.8) است، یک اشکال تزریق کد که می تواند منجر به اجرای کد از راه دور تأیید نشده باشد. سیتریکس، اوایل این هفته، وصلههایی را برای این مشکل منتشر کرد و نسبت به بهرهبرداری فعال در طبیعت هشدار داد.
برای بهرهبرداری موفقیتآمیز، دستگاه بهعنوان یک Gateway (سرور مجازی VPN، ICA Proxy، CVPN، RDP Proxy) یا سرور مجازی تأیید هویت، مجوز و ممیزی (AAA) پیکربندی شده باشد.
CISA نام سازمانی را که تحت تأثیر این حادثه قرار گرفته است، اعلام نکرد. عامل تهدید یا کشوری که گفته می شود در پشت آن قرار دارد، در حال حاضر ناشناخته است.
آژانس اشاره کرد که تلاشهای بعدی دشمن برای حرکت جانبی در سراسر شبکه و همچنین اجرای دستورات برای شناسایی اهداف در دسترس و تأیید اتصال شبکههای خروجی به دلیل شیوههای قوی تقسیمبندی شبکه خنثی شد و افزود که بازیگران همچنین تلاش کردند تا مصنوعات خود را حذف کنند تا مسیرها را بپوشانند.
آسیبپذیریهای موجود در محصولات دروازهای مانند NetScaler ADC و NetScaler Gateway به اهداف محبوبی برای بازیگران تهدید تبدیل شدهاند که به دنبال دسترسی ممتاز به شبکههای هدف هستند. این امر ضروری است که کاربران به سرعت برای اعمال آخرین اصلاحات برای ایمن شدن در برابر تهدیدات احتمالی حرکت کنند.2