ความฉลาดทางข้อมูลเชิงกำเนิด

Cyber Security

ขณะที่ Citrix กระตุ้นให้ลูกค้าแก้ไข นักวิจัยก็เผยแพร่ช่องโหว่

พิมพ์ซ้ำโดยเพลโต
พิมพ์ซ้ำโดยเพลโต

วันที่:

Views: 0

ขณะนี้มีการอัปเดตความปลอดภัยที่สำคัญสำหรับช่องโหว่ Citrix NetScaler ที่มีชื่อเสียงระดับสูงล่าสุดแล้ว แต่ก็เป็นการเอาเปรียบเช่นกัน และในบางกรณี อย่างหลังอาจใช้ง่ายกว่าอันแรก

จนถึงตอนนี้ก็เป็นสัปดาห์ที่วุ่นวายสำหรับลูกค้า Citrix วันที่ 23 กันยายน ต่อไปนี้ รายงานการแสวงหาผลประโยชน์อย่างแข็งขันในป่าทางบริษัทได้ออก การปรับปรุงเร่งด่วน for CVE-2023-4966ซึ่งเป็นช่องโหว่ในการเปิดเผยข้อมูลที่ละเอียดอ่อนใน NetScaler Application Delivery Controller (ADC) และผลิตภัณฑ์เกตเวย์. ช่องโหว่ดังกล่าวได้รับการจัดอันดับ CVSS “สูง” 7.5 จาก 10 CVSS โดย NIST แต่เป็น “Critical” 9.4 โดย Citrix เอง

จากนั้นในวันที่ 24 กันยายน นักวิจัยจาก Assetnote ได้ตีพิมพ์ การใช้ประโยชน์จากการพิสูจน์แนวคิด (PoC) สู่ GitHub การใช้ประโยชน์ที่มีอยู่อย่างกว้างขวางนั้นค่อนข้างเรียบง่ายเมื่อเทียบกับผลกระทบร้ายแรงที่อาจเกิดขึ้นได้

“นี่เป็นโซลูชันการเข้าถึงระยะไกลในสถานที่ส่วนใหญ่ และด้วยเหตุนี้ จึงมีการเข้าถึงอินเทอร์เน็ตเกือบตลอดเวลา” Andy Hornegold รองประธานฝ่ายผลิตภัณฑ์ของ Intruder อธิบาย “ความเสี่ยงคือใครบางคนจะสามารถใช้ประโยชน์จากช่องโหว่นี้ อ่านโทเค็นเซสชัน เชื่อมต่อกับอุปกรณ์ของคุณในฐานะหนึ่งในผู้ใช้มาตรฐานของคุณ จากนั้นเข้าถึงสภาพแวดล้อมของคุณด้วยสิทธิ์เหล่านั้น”

การใช้ประโยชน์จาก Citrix ใหม่

นักวิจัยจาก Assetnote ค้นพบฟังก์ชันที่เกี่ยวข้องสองประการที่เป็นหัวใจของ CVE-2023-4966 — ns_aaa_oauth_send_openid_config และ ns_aaa_oauthrp_send_openid_config — ทั้งคู่รับผิดชอบในการใช้จุดสิ้นสุดการค้นพบ OpenID Connect (OIDC) OIDC เป็นโปรโตคอลแบบเปิดที่ใช้สำหรับการตรวจสอบสิทธิ์และการอนุญาต

บนอุปกรณ์ NetScaler ที่ไม่ได้รับการติดตั้ง ผู้โจมตีสามารถโอเวอร์โหลดบัฟเฟอร์ได้อย่างง่ายดายโดยการส่งคำขอที่เกิน 24,812 ไบต์ ด้วยคำขอที่มีความยาวไม่เกินสามบรรทัด นักวิจัยค้นพบว่าอาจทำให้อุปกรณ์รั่วไหลของหน่วยความจำได้

“มันให้ความรู้สึกเหมือนถูกแฮ็กย้อนกลับไปในปี 1999” Hornegold พูดเพียงครึ่งตลกเท่านั้น “ย้อนกลับไปในสมัยนั้น มันเป็นวิธีการเริ่มต้นในการพยายามโจมตีประเภทนี้ เพียงยัด 'a's จำนวนมากลงในแพ็กเก็ตแล้วดูว่ามีอะไรกลับมาบ้าง”

ในกรณีนี้ เขาอธิบายว่า “ฉันสามารถส่งคำขอหนึ่งคำขอพร้อมกับ 'a's จำนวนมากในครั้งเดียว จากนั้นในส่วนเนื้อความของการตอบกลับ คำขอจะเริ่มเปิดเผยโทเค็นเซสชันสำหรับผู้ที่ลงชื่อเข้าใช้อุปกรณ์ NetScaler นั้น ซึ่งฉันสามารถนำมาใช้ซ้ำเพื่อเข้าสู่ระบบในฐานะผู้ใช้เหล่านั้นได้” ด้วยการไฮแจ็กเซสชันที่มีการรับรองความถูกต้อง ผู้ประสงค์ร้ายอาจเลี่ยงการตรวจสอบใด ๆ รวมถึงการรับรองความถูกต้องแบบหลายปัจจัย (MFA)

เหตุใดการแพทช์จึงไม่เพียงพอ

อ้างอิงจากซิทริกซ์โดยมีองค์กรมากกว่า 400,000 แห่งทั่วโลกใช้ซอฟต์แวร์ของบริษัท รวมถึง 98% ของบริษัทที่ติดอันดับ Fortune 500 ตามข้อมูลของ Enlyftโดยเฉพาะอย่างยิ่ง NetScaler ถูกใช้โดยบริษัทเกือบ 84,000 แห่ง รวมถึงแบรนด์เนมอย่าง eBay และ Fujitsu

NetScaler ไม่ใช่แค่ได้รับความนิยมเท่านั้น ในฐานะผู้บุกรุก ระบุไว้ในบล็อกโพสต์เมื่อวันที่ 25 กันยายนซึ่งได้รับความนิยมมากที่สุดในอุตสาหกรรมที่สำคัญ ซึ่งมักนิยมใช้โครงสร้างพื้นฐานในองค์กรมากกว่าในระบบคลาวด์

ดังนั้นในขณะที่ Citrix แนะนำลูกค้าเมื่อวันที่ 23 กันยายน เพื่อทำการแพตช์โดยเร็วที่สุด การทำเช่นนี้ไม่ใช่เรื่องง่ายสำหรับทุกคน สำหรับองค์กรที่ต้องการเวลาทำงานตลอด 24 ชั่วโมงทุกวัน “นี่เป็นการรักษาสมดุลเล็กน้อย” ฮอร์นโกลด์พูดว่า “เพราะเห็นได้ชัดว่าคุณต้องรักษาบริการนั้นให้คงอยู่นานที่สุดเท่าที่จะเป็นไปได้ โดยเฉพาะอย่างยิ่งเมื่อคุณกำลังพูดถึงโครงสร้างพื้นฐานระดับชาติที่สำคัญ การหยุดทำงานใดๆ จะต้องนำมาเป็นส่วนหนึ่งของการพิจารณาความเสี่ยง”

ธุรกิจทั่วไปจะไม่สามารถแพตช์และลืมมันได้เช่นกัน ดังที่ Mandiant ชี้ให้เห็นเมื่อสัปดาห์ที่แล้วเซสชันที่ถูกไฮแจ็กอาจยังคงอยู่แม้จะผ่านแพตช์ ดังนั้นองค์กรจึงต้องดำเนินการขั้นตอนเพิ่มเติมในการยกเลิกเซสชันที่ใช้งานอยู่ทั้งหมด

และถึงอย่างนั้นก็อาจจะไม่เพียงพอ Mandiant สังเกตเห็นผู้ดำเนินการภัยคุกคามที่ใช้ประโยชน์จาก CVE-2023-4966 ตั้งแต่ต้นเดือนสิงหาคม ทำให้เหลือกรอบเวลาที่เหมาะสมสำหรับการคงอยู่หลังการแสวงหาผลประโยชน์และการเข้าถึงขั้นปลายน้ำ

“ที่นั่นยังมีโอกาสอีกสองเดือนเต็ม” Hornegold ชี้ให้เห็น “ดังนั้นหากคำถามคือ 'อะไรจะเลวร้ายที่สุดที่อาจเกิดขึ้นได้หากคุณไม่แพทช์นี้?' —ตามความเป็นจริงแล้ว สิ่งเลวร้ายที่สุดอาจเกิดขึ้นแล้วก็ได้”

จุด_img

ข่าวกรองล่าสุด

จุด_img

ลิขสิทธิ์ @ 2024 Plato Technologies Inc.