Випущено перевірку концепції (PoC) для вразливості Citrix Bleed, яка відстежується як CVE-2023-4966 та дає змогу зловмисникам отримувати файли cookie сеансу автентифікації з уразливих пристроїв Citrix NetScaler ADC і NetScaler Gateway. Про це повідомляє BleepingComputer.
CVE-2023-4966 – це помилка розкриття інформації критичного рівня, яку Citrix виправила 10 жовтня, не надаючи багато деталей.
17 жовтня Mandiant виявив, що з кінця серпня 2023 року недолік використовувався як вразливість нульового дня в обмежених атаках.
Цього понеділка компанія Citrix випустила наступне попередження для адміністраторів пристроїв NetScaler ADC і Gateway, закликаючи їх негайно виправити недолік, оскільки швидкість використання почала зростати.
25 жовтня дослідники з Assetnote поділилися більш детальною інформацією про метод використання CVE-2023-4966 й опублікували експлойт PoC на GitHub, щоб продемонструвати свої висновки й допомогти тим, хто хоче перевірити ризик зараження.
Уразливість Citrix Bleed
Помилка CVE-2023-4966 Citrix Bleed – це неавтентифікована вразливість, пов’язана з буфером, що впливає на Citrix NetScaler ADC і NetScaler Gateway, мережеві пристрої, які використовуються для балансування навантаження, впровадження брандмауера, керування трафіком, VPN та автентифікації користувачів.
Аналізуючи версії NetScaler без виправлень (13.1-48.47) і виправлені (13.1-49.15), Assetnote виявив 50 змін у функціях.
Серед цих функцій дослідники виявили дві ('ns_aaa_oauth_send_openid_config' та 'ns_aaa_oauthrp_send_openid_config'), які містять додаткові перевірки меж перед генерацією відповіді.
Ці функції використовують 'snprintf', щоб вставити відповідні дані у згенероване корисне навантаження JSON для конфігурації OpenID. У версії pre-patch відповідь надсилається негайно без перевірок.
Уразливість виникає через значення, що повертається функцією snprintf, що може призвести до перечитування буфера у разі використання.
Виправлена версія гарантує, що відповідь буде надіслано, лише якщо snprintf повертає значення, нижче за 0x20000.
Вилучення токенів сесії
Озброївшись цими знаннями, аналітики Assetnote спробували використати вразливі кінцеві точки NetScaler.
Під час цього процесу вони виявили, що значення імені хоста, яке використовується для генерації корисного навантаження, походить із заголовка HTTP Host, тому для доступу до нього не потрібні права адміністратора.
Крім того, ім’я хоста вставляється в корисне навантаження шість разів. Отже, його використання дає змогу перевищити ліміт буфера, змушуючи кінцеву точку відповідати вмістом буфера та суміжною пам’яттю.
«Ми могли чітко побачити багато витоку пам’яті відразу після корисного навантаження JSON. Хоча багато з них були нульовими байтами, у відповіді була якась підозріла інформація», – пояснює Assetnote у звіті.
Використовуючи вразливість тисячі разів для тестування, аналітики постійно знаходили шістнадцятковий рядок довжиною 32-65 байт, який є файлом cookie сеансу.
Отримання цього файлу cookie дає зловмисникам змогу захопити облікові записи й отримати необмежений доступ до вразливих пристроїв.
Тепер, коли експлойт CVE-2023-4966 є загальнодоступним, очікується, що зловмисники посилять націлювання на пристрої Citrix Netscaler, щоб отримати початковий доступ до корпоративних мереж.
Служба моніторингу загроз Shadowserver повідомляє про сплески спроб експлуатації після публікації PoC Assetnote, отже шкідлива активність уже почалася.
Оскільки ці типи вразливостей зазвичай використовуються для атак програм-вимагачів і крадіжок даних, системним адміністраторам наполегливо рекомендують негайно розгорнути виправлення для усунення вразливості.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!