Security Week 2330: критическая уязвимость в продуктах Citrix Netscaler

18 июля компания Citrix закрыла три уязвимости в корпоративных сетевых решениях Netscaler (а именно Netscaler ADC и Netscaler Gateway). Одна из уязвимостей (CVE-2023-3519) — критическая (рейтинг по методу CVSS 9,8 балла), она позволяет злоумышленнику выполнять произвольный код без авторизации. Эта угроза актуальна в том случае, если решение Netscaler ADC или Gateway работает в определенной конфигурации, например в качестве VPN-сервера или прокси-сервера RDP.



Уязвимость затрагивает Citrix Netscaler версий 12.1, 13.0 и 13.1, причем самая ранняя уязвимая версия имеет статус end-of-life и требует обновления до более свежей. Как сообщает издание Bleeping Computer, у наиболее серьезной проблемы статус zero-day. Эксплойт для нее был предположительно выставлен на продажу на одной из киберкриминальных площадок в начале июля. Впрочем, на момент утечки компания уже работала над исправлением ошибки.

Две другие уязвимости в Netscaler не настолько опасны, но также имеют высокий рейтинг CVSS и могут использоваться в кибератаках. Уязвимость CVE-2023-3466 относится к классу XSS и может быть эксплуатирована, например, если жертва откроет подготовленную веб-страницу из локальной сети, откуда также есть доступ к сетевому решению Citrix. Уязвимость CVE-2023-3467 позволяет повысить привилегии до максимальных. На прошлой неделе американское агентство по кибербезопасности выпустило бюллетень с рекомендацией немедленно обновить Citrix Netscaler ADC и Netscaler Gateway. По некоторым данным , по состоянию на 22 июля в сети оставалось более 15 тысяч уязвимых систем.

Что еще произошло:

Эксперты «Лаборатории Касперского» подробно разбирают атаки с использованием уязвимости CVE-2023-23397 в почтовом клиенте Microsoft Outlook. Уязвимость, детали которой были впервые опубликованы в марте, предполагает отправку жертве подготовленного сообщения со ссылкой на файловый SMB-сервер злоумышленника. При автоматическом обращении к этому серверу происходит утечка хеша NTLMv2. Этот хеш в дальнейшем может использоваться для развития атаки на корпоративную инфраструктуру организации.

На прошлой неделе также широко обсуждалась атака на организации, использующие облачные решения Microsoft. Первоначально Microsoft сообщила об атаке 11 июля, когда злоумышленники похитили приватный ключ, который позволял генерировать токены доступа к учетным записям пострадавших компаний. На прошлой неделе был опубликован отчет , в котором утверждается, что приватный ключ мог использоваться не только для доступа к сервисам Outlook Web Access и Outlook.com. Предположительно организаторы атаки могли получить доступ и к другим корпоративным сервисам Microsoft, включая SharePoint, Teams и OneDrive. Компания Microsoft, впрочем, с такой трактовкой событий не согласна . Косвенным следствием данного инцидента станет повышение детализации логов для клиентов облачного сервиса Microsoft: как оказалось, определить факт успешной атаки могли только владельцы премиальной подписки, а в более бюджетных планах необходимая информация была недоступна.

Критическая уязвимость в плагине WooCommerce Payments для Wordpress используется в масштабных кибератаках на интернет-магазины. Данная уязвимость с рейтингом 9,8 по шкале CVSS была закрыта еще в марте, но в середине июля эксперты зафиксировали атаки на сотни тысяч веб-сайтов. Успешная атака позволяет создать учетную запись администратора и таким образом получить полный доступ к серверу.