CVE-2023-3519: Vulnerabilidad 0-day explotada de manera activa en Citrix NetScaler
El 18 de julio de 2023, Citrix publicó la información y actualizaciones para solucionar una vulnerabilidad crítica (CVE-2023-3519) en NetScaler ADC y NetScaler Gateway. La brecha de seguridad permite la ejecución de código remoto no autenticado en los sistemas afectados.
Además, en las actualizaciones se parchean otras dos vulnerabilidades de Cross-Site-Scripting (CVE-2023-3466) y elevación de privilegios (CVE-2023-3467).
Citrix NetScaler ADC es un Application Delivery Controller creado para optimizar, gestionar y proteger el tráfico de red de Capa 4 a Capa 7 (L4-L7).
Aunque no se han publicado detalles concretos acerca de la vulnerabilidad, se ha podido saber que está siendo explotada de manera activa, por lo que la actualización de los activos afectados es urgente.
Características principales de la CVE-2023-3519
A continuación, se recogen las características principales de la vulnerabilidad CVE-2023-3519:
- Identificador CVE: CVE-2023-3519
- Valor CVSS: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- Fecha de publicación: 18/07/2023
- Software afectado: NetScaler ADC y NetScaler Gateway
- Versiones afectadas:
- NetScaler ADC y NetScaler Gateway 13.1 antes de 13.1-49.13
- NetScaler ADC y NetScaler Gateway 13.0 antes de 13.0-91.13
- NetScaler ADC 13.1-FIPS antes de 13.1-37.159
- NetScaler ADC 12.1-FIPS antes de 12.1-55.297
- NetScaler ADC 12.1-NDcPP antes de 12.1-55.297
Mitigación
El fabricante ha publicado un comunicado oficial recomendando actualizar el software a cualquier versión soportada:
- NetScaler ADC y NetScaler Gateway 13.1-49.13 y versiones posteriores.
- NetScaler ADC y NetScaler Gateway 13.0-91.13 y versiones posteriores de 13.0.
- NetScaler ADC 13.1-FIPS 13.1-37.159 y versiones posteriores de 13.1-FIPS .
- NetScaler ADC 12.1-FIPS 12.1-55.297 y versiones posteriores de 12.1-FIPS .
¡Importante! No hay parches para NetScaler (Citrix ADC) versión 12.1 o anterior. Estos sistemas han alcanzado su fin de ciclo de vida y por lo tanto su parcheo no será realizado. En este caso, se debe actualizar a la última versión 13.0 o 13.1.
Indicadores de compromiso
Dado que se ha detectado su explotación de manera activa, se han publicado ciertos indicadores de compromiso para ayudar a detectar posibles intrusiones:
- Direcciones IP de origen:
- 216.41.162.172
- 216.51.171.17
Además, de manera no oficial se ha publicado una guía preliminar para poder investigar posibles intrusiones.
Detección de la vulnerabilidad
No se han compartido detalles de la explotación de la vulnerabilidad CVE-2023-3519. Por ello, solamente es posible confiar en el número de versión reportado por la aplicación para comprobar si una instancia es vulnerable.
Como parte del servicio de vulnerabilidades emergentes, Tarlogic Security monitoriza proactivamente el perímetro de sus clientes para informar, detectar y notificar la presencia de esta vulnerabilidad, así como otras amenazas críticas que pudiesen tener un impacto severo en la seguridad.
Referencias