cve - 2023 - 3519:关键的远端控制设备在Netscaler ADC (Citrix ADC)和Netscaler网关(Citrix网关)
![Citrix远程代码执行漏洞补丁关键(cve - 2023 - 3519)在NetScaler ADC和网关设备在野外利用](http://www.yyueer.com/de/sites/default/files/images/articles/Blog-Research-CEA-Wild-Max-Quality_9.jpg)
Citrix发布了一个补丁修复一个远程代码执行漏洞在几个版本的Netscaler ADC和Netscaler网关被剥削。组织正在敦促立即修补。
7月21日更新:博客已经更新,包括一个链接到一个网络安全咨询与开发的额外细节cve - 2023 - 3519,包括信息援助事件反应者。
背景
7月18日,Citrix发布了一个安全公告(CTX561482)解决一个关键的远程代码执行(远端控制设备)脆弱性Netscaler ADC(原名Citrix ADC)和Netscaler网关(原名Citrix网关)。
CVE | 描述 | CVSSv3 | 严重程度 |
---|---|---|---|
cve - 2023 - 3519 | 未经身份验证的远程代码执行漏洞 | 9.8 | 至关重要的 |
除了cve - 2023 - 3519, Citrix修补两个额外的漏洞在ADC和网关设备:
CVE | 描述 | CVSSv3 | 严重程度 |
---|---|---|---|
cve - 2023 - 3466 | 反映了跨站脚本(XSS)脆弱性 | 8.3 | 高 |
cve - 2023 - 3467 | 根特权扩大管理员(nsroot)脆弱性 | 8.0 | 高 |
分析
cve - 2023 - 3519是一个远端控制设备漏洞Netscaler ADC和Netscaler网关。一个遥控器,未经身份验证的攻击者可以利用此漏洞一个脆弱的服务器上执行任意代码。目标设备容易受到剥削,它必须配置网关(例如VPN, ICA代理,CVP, RDP代理)或一个AAA级的虚拟服务器。漏洞被评为关键和Citrix报告”的cve - 2023 - 3519彻头彻尾的电器曾被观察到。”
ADC和网关在历史上攻击者的目标
Citrix的ADC和网关设备已经被攻击者在过去的有价值的目标。例如,2022年12月,Citrix打补丁的另一个关键远端控制设备的弱点,cve - 2022 - 27518在Citrix ADC和网关,这也是被剥削。
后披露cve - 2019 - 19781,另一个未经身份验证的远端控制设备漏洞在ADC和网关设备在2019年晚些时候,积极开发在2020年初开始它仍然是一个受欢迎的脆弱性和各种攻击者包括中国政府威胁演员,Iranian-based威胁演员,俄罗斯政府威胁组以及ransomware组。此外,cve - 2019 - 19781有漏洞在我们的前5位2020威胁景观回顾报告。
由于剥削的历史性质对ADC和网关设备,我们强烈敦促组织尽快补丁cve - 2023 - 3519。
概念验证
当时这篇博文发表后,没有概念用于cve - 2023 - 3519。
解决方案
Citrix详细的影响和固定版本安全公告cve - 2023 - 3519。
受影响的产品 | 影响版本 | 固定的版本 |
---|---|---|
NetScaler ADC和NetScaler网关13.1 | 在13.1 - -49.13 | 13.1 -49.13及以后版本 |
NetScaler ADC和NetScaler网关 13.0 | 在13.0 - -91.13 | 13.0 - -91.13,后来 |
NetScaler ADC 13.1 fips | 在13.1 - -37.159 | 13.1 - -37.159,后来 |
NetScaler ADC 12.1 fips | 在12.1 - -55.297 | 12.1 - -55.297,后来 |
NetScaler ADC 12.1 -ndcpp | 在12.1 - -55.297 | 12.1 - -55.297,后来 |
Citrix还指出,NetScaler ADC和NetScaler网关版本12.1是生命的结束(EOL)和用户敦促立即升级到支持的版本。
确定影响系统
站得住脚的插件的列表来确定这个漏洞将会出现在这里当他们被释放。这个链接使用一个搜索过滤器来确保所有匹配插件覆盖率将会出现,因为它被释放。
7月20日,网络安全和基础设施安全机构(CISA)释放网络安全咨询(CSA) aa23 - 201 a进一步详细的战术、技术和程序(ttp)的威胁演员利用cve - 2023 - 3519。这个CSA包括信息援助事件反应和还提供了横切ATT&CK id。CSA的注意,这个威胁演员种植影响受害者NetScaler ADC设备网站管理权限,使用这个网站管理权限收集和漏出Active Directory(广告)的数据。攻击者然后试图横向移动到一个域控制器。我们建议回顾这CSA事件反应活动进一步的信息来帮助如果你怀疑你的组织可能已经受到这种脆弱性的影响。
获得更多的信息
- Citrix ADC和Citrix网关安全公告cve - 2023 - 3519, cve cve - 2023 - 3466 - 2023 - 3467
- 中钢协网络安全顾问aa23 - 201 a:威胁演员利用Citrix cve - 2023 - 3519植入网站管理权限
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于成立一个现代风险管理平台的攻击表面。
更改日志
7月21日更新:博客已经更新,包括一个链接到一个网络安全咨询与开发的额外细节cve - 2023 - 3519,包括信息援助事件反应者。
相关文章
- 风险管理
- 风险管理