CVE-2023-4966: Citrix NetScaler信息泄露漏洞利用

最后更新于2023年10月27日(星期五)16:50:27 GMT

2023年10月10日，思杰 published an advisory 关于影响NetScaler ADC和NetScaler网关的两个漏洞. 这两个问题中更关键的是CVE-2023-4966, 一个敏感的信息泄露漏洞，允许攻击者在缓冲区结束后读取大量内存. Notably, 该内存包括会话令牌, 哪一个允许攻击者冒充另一个经过身份验证的用户. On October 17, 思杰(Citrix)更新了警告，表明他们已经观察到在野外的开发. The U.S. 网络安全和基础设施安全局(CISA)也有 added CVE-2023-4966 到他们的已知利用漏洞(KEV)目录.

2023年10月25日，安全公司Assetnote released an analysis，包括概念验证，演示如何窃取会话令牌. Since then, Shadowserver 注意到扫描的上升了吗 for that endpoint. Rapid7 MDR正在调查该漏洞在客户环境中的潜在利用，但尚未能够高度肯定CVE-2023-4966是最初的访问媒介.

Rapid7建议采取紧急措施来缓解CVE-2023-4966. Threat actors, including ransomware groups, 是否一直对思杰NetScaler ADC漏洞表现出浓厚的兴趣. 我们预计剥削会增加. Our research team has a technical assessment 该漏洞及其在攻击知识库中的影响.

Affected Products

Citrix published a blog 10月23日发布的，包含了利用和缓解细节. Their advisory 表示CVE-2023-4966影响以下支持的NetScaler ADC和NetScaler网关版本:

* NetScaler ADC和NetScaler网关.1 before 14.1-8.50

* NetScaler ADC和NetScaler网关.1 before 13.1-49.15

* NetScaler ADC和NetScaler网关.0 before 13.0-92.19

* NetScaler ADC 13.1-FIPS before 13.1-37.164

* NetScaler ADC 12.1-FIPS before 12.1-55.300

* NetScaler ADC 12.1-NDcPP before 12.1-55.300

Note: NetScaler ADC和NetScaler网关版本12.1现在是生命终止(EOL)，很脆弱.

In order to be exploitable, 设备必须配置为网关(VPN)虚拟服务器, ICA Proxy, CVPN, RDP代理)或AAA 虚拟 服务器(这是一个非常常见的配置). Citrix表示，使用Citrix管理的云服务或自适应认证的客户不需要采取任何行动.

Mitigation Guidance

Citrix NetScaler ADC和网关用户应立即更新到固定版本, 无需等待典型的补丁周期发生. Additionally, Citrix’s blog on CVE-2023-4966 建议使用以下命令终止所有活动和持久会话:

kill icaconnection -all

kill rdp connection -all

kill pcoipConnection -all

kill aaa session -all

clear lb persistentSessions

有关更多信息，请参阅Citrix的 advisory.

Rapid7 Customers

InsightVM和expose的客户可以在Citrix的建议(CVE-2023-4966)中评估他们对这两个cve的暴露程度, CVE-2023-4967)，在10月23日的内容发布中提供了经过身份验证的漏洞检查.