Una de las claves de la ciberseguridad es aplicar los parches disponibles lo antes posible. En este caso las empresas están en riesgo y en este caso es lo que les está pasando a aquellas que aún no han actualizado sus instalaciones de Citrix Netscaler (ADC y Gateway). Un breve recordatorio de la situación: el 19 de julio, el editor boletines de alerta publicados sobre tres fallas, incluida CVE-2023-3519 que abre el camino a la ejecución remota de código sin autenticación. Casi un mes después, está claro que la situación no es alentadora. Según los investigadores de seguridad de Fox-IT (grupo NCC) en colaboración con el Instituto Holandés de Divulgación de Vulnerabilidades, muchas instalaciones todavía están en riesgo.

Durante esta campaña de explotación, 31.127 sistemas Netscaler fueron vulnerables a CVE-2023-3519. Al 14 de agosto, 1828 sistemas todavía estaban comprometidos por una puerta trasera, mientras que 1248 que estaban comprometidos ahora están protegidos por CVE-2023-3519. Tenga cuidado, sin embargo: “Un [système] Es posible que Netscaler parcheado todavía contenga una puerta trasera. Se recomienda realizar una verificación del indicador de compromiso en su [systèmes] Netscaler, independientemente de cuándo se aplicó el parche”, advirtió Fox-IT.

Análisis forense y scripts de verificación del COI disponibles

La empresa indica he proporcionado un script de Python que utiliza Dissect para realizar análisis forenses de las instalaciones de Netscalers. Por su parte, Mandiant (adquirida por Google Cloud) empujó un script bash para comprobar si hay indicios de compromiso. Tenga en cuenta que si este script se ejecuta dos veces producirá resultados falsos positivos porque algunas búsquedas se escriben en los registros de Netscaler cada vez que se ejecuta el script.

“Si se descubren rastros de compromiso, proteger los datos forenses; Se recomienda encarecidamente realizar una copia forense del disco y la memoria del dispositivo antes de cualquier acción correctiva o de investigación. Si el dispositivo Citrix está instalado en un hipervisor, se puede tomar una instantánea para monitorear la investigación. Si se encuentra un webshell, verifique si se utilizó para realizar actividades. El uso de Webshell debería ser visible en los registros de acceso de Netscaler. Si hay indicios de que el webshell se utilizó para realizar actividades no autorizadas, es esencial realizar una investigación más profunda para identificar si el adversario ha movido lateralmente Netscaler a otro webshell. su infraestructura”, advierten los investigadores de seguridad de Fox-IT.