Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/cisa-citrix-rce-bug-exploited-to-breach-critical-infrastructure-org/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #bug #do #netscaler #adc #explorado #para #violar #a #organização #de #infraestrutura #crítica #dos #eua
O governo dos EUA está alertando que os agentes de ameaças violaram a rede de uma organização dos EUA no setor de infraestrutura crítica depois de explorar uma vulnerabilidade RCE de dia zero atualmente identificada como CVE-2023-3519, um problema de gravidade crítica no NetScaler ADC e Gateway que a Citrix corrigiu esta semana.
A Agência de Segurança Cibernética e Infraestrutura (CISA) diz que o ataque ocorreu em junho e os hackers usaram seu acesso para roubar dados do Active Directory.
Hackers exfiltraram dados do AD
Em um comunicado esta semana, a CISA adverte que os hackers aproveitaram a falha de execução remota de código (RCE) não autenticada para implantar um webshell no dispositivo NetScaler Application Delivery Controller (ADC) de não produção do alvo.
O backdoor permitiu que o invasor enumerasse objetos do Active Directory (AD), que incluem usuários, grupos, aplicativos e dispositivos na rede, além de roubar dados do AD.
Como o dispositivo NetScaler ADC visado estava em um ambiente segregado na rede, os hackers não conseguiram se mover lateralmente para um controlador de domínio, afirma a CISA.
A CISA lançou um comunicado com táticas, técnicas e procedimentos (TTPs) juntamente com métodos de detecção para ajudar as organizações, especialmente aquelas no segmento de infraestrutura crítica, a determinar se seus sistemas foram comprometidos.
Durante o estágio inicial de exploração, os hackers carregaram no dispositivo vulnerável um arquivo TGZ com um webshell genérico, um script de descoberta e um binário setuid.
Eles fizeram varredura SMB na sub-rede e usaram o webshell para verificar e exfiltrar o inventário do Active Directory, com interesse particular em:
Arquivos de configuração do NetScaler que contêm uma senha criptografada cuja chave está no dispositivo ADC
Chaves de descriptografia do NetScaler, que podem desbloquear a senha do AD no arquivo de configuração
A lista de usuários, sistemas, grupos, sub-redes, unidades organizacionais, contatos, partições e relações de confiança no Active Directory
O invasor criptografou os dados de descoberta usando a biblioteca OpenSSL e os preparou para exfiltração em um local acessível pela Web em formato compactado como um tarball disfarçado de imagem PNG.
Parece que os hackers tentaram encobrir seus rastros excluindo o arquivo de autorização, o que impediria que os administradores fizessem login remotamente. Para recuperar o acesso, é necessária uma reinicialização no modo de usuário único, que pode ter excluído os artefatos.
Com os agentes de ameaças explorando a vulnerabilidade desde que foi um dia zero, os administradores do NetScaler devem instalar sem demora as atualizações mais recentes lançadas pela Citrix para resolver o problema.
Milhares de servidores vulneráveis expostos
Uma avaliação inicial da The Shadowserver Foundation, uma organização sem fins lucrativos para tornar a Internet mais segura, constatou que o CVE-2023-3519 provavelmente estava afetando mais de 11.000 servidores NetScaler ADC e Gateway expostos online.
Esse número aumentou para 15.000, disse a organização ao BleepingComputer hoje, depois de refinar sua consulta para marcar como vulneráveis todos os dispositivos NetScaler que retornaram um cabeçalho de "última modificação" com uma data anterior a 1º de julho.
A nova contagem também se deve à melhoria da cobertura de detecção para máquinas NetScaler AAA (servidor virtual de autenticação). Embora aumentado, o número provavelmente representa uma estimativa conservadora, diz a organização.
A CISA também lançou um conjunto de comandos que as organizações podem usar para verificar sinais de comprometimento explorando o CVE-2023-3519.
Empilhamento de comandos levando à raiz
A Citrix corrigiu o CVE-2023-3519 em 18 de julho, juntamente com duas vulnerabilidades menos graves. Um deles é um bug refletido de cross-site scripting (XSS) com uma pontuação de gravidade de 8,3 e rastreado como CVE-2023-3466.
A exploração dessa falha é possível se a vítima na mesma rede que o appliance vulnerável carregar no navegador um link malicioso de um invasor.
A outra é uma escalação de privilégio para root identificada como CVE-2023-3467. Ele recebeu uma pontuação de gravidade de 8,0 e pode ser aproveitado por um invasor com a função menos privilegiada para a interface de linha de comando (CLI) do NetScaler.
Jorren Geurts e Wouter Rijkborst, pesquisadores da empresa de segurança cibernética Resillion, publicaram uma análise técnica detalhada da vulnerabilidade, explicando como o empilhamento de comandos específicos na CLI do NetScaler permite que qualquer usuário com permissões somente leitura obtenha privilégios de root no sistema.
O empilhamento de comandos no NetScaler CLI leva à fonte de acesso root: Resillion
Os pesquisadores disseram ao BleepingComputer que o usuário com poucos privilégios também pode obter permissão de root no dispositivo usando os mesmos comandos na interface de gerenciamento da web. No entanto, Rijkborst disse que esse método é menos estável.
Atualmente, não há informações sobre essas vulnerabilidades menos graves sendo exploradas na natureza, mas os agentes de ameaças que já têm acesso à rede podem aproveitá-los para aumentar seu acesso à rede.
Recentemente, a The Estée Lauder Companies foi violada duas vezes em ataques separados da Clop, por meio da vulnerabilidade de dia zero do MOVEit e das gangues de ransomware ALPHV/BlackCat.
Ainda não está claro como o ALPH/BlackCat obteve o acesso inicial, mas a gangue se gabou de que, duas semanas depois de a empresa contratar os serviços Microsoft DART e Mandiant para lidar com o primeiro incidente, eles ainda estavam na rede.
Atores de ameaças, especialmente grupos avançados, nem sempre correm para se mover lateralmente na rede da vítima e às vezes esperam silenciosamente para encontrar um método que seja menos ruidoso e aumente o sucesso do ataque.
Postar um comentário