Cacat Kritis Citrix NetScaler Dieksploitasi, Targetkan Pemerintah dan Perusahaan Teknologi

The Hacker News

Cyberthreat.id - Citrix memperingatkan eksploitasi kelemahan keamanan kritis yang baru-baru ini diungkapkan pada peralatan NetScaler ADC dan Gateway yang dapat mengakibatkan paparan informasi sensitif.

Dilacak sebagai CVE-2023-4966 (skor CVSS: 9.4), kerentanan berdampak pada versi yang didukung berikut:

  • NetScaler ADC dan NetScaler Gateway 14.1 sebelum 14.1-8.50
  • NetScaler ADC dan NetScaler Gateway 13.1 sebelum 13.1-49.15
  • NetScaler ADC dan NetScaler Gateway 13.0 sebelum 13.0-92.19
  • NetScaler ADC dan NetScaler Gateway 12.1 (saat ini masa pakainya sudah habis)
  • NetScaler ADC 13.1-FIPS sebelum 13.1-37.164
  • NetScaler ADC 12.1-FIPS sebelum 12.1-55.300, dan
  • NetScaler ADC 12.1-NDcPP sebelum 12.1-55.300

Namun, agar eksploitasi dapat terjadi, perangkat harus dikonfigurasi sebagai server virtual Gateway (server virtual VPN, Proxy ICA, CVPN, Proxy RDP) atau server virtual otorisasi dan akuntansi (AAA).

Meskipun perbaikan untuk kelemahan tersebut dirilis pada 10 Oktober 2023, Citrix kini telah merevisi saran tersebut dengan mencatat bahwa "eksploitasi CVE-2023-4966 pada peralatan yang tidak tanggung-tanggung telah diamati."

Mandiant milik Google, dalam peringatannya yang diterbitkan pada hari Selasa, mengatakan pihaknya mengidentifikasi eksploitasi kerentanan zero-day di alam liar yang dimulai pada akhir Agustus 2023.

“Eksploitasi yang berhasil dapat menghasilkan kemampuan untuk membajak sesi autentikasi yang ada, sehingga mengabaikan autentikasi multi-faktor atau persyaratan autentikasi kuat lainnya,” kata perusahaan intelijen ancaman tersebut sebagaimana dikutip The Hacker News.

"Sesi ini mungkin bertahan setelah pembaruan untuk mitigasi CVE-2023-4966 diterapkan."

Mandiant juga mengatakan pihaknya mendeteksi pembajakan sesi di mana data sesi dicuri sebelum penerapan patch, dan kemudian digunakan oleh pelaku ancaman yang tidak ditentukan.

“Pembajakan sesi yang diautentikasi kemudian dapat mengakibatkan akses hilir lebih lanjut berdasarkan izin dan cakupan akses yang diizinkan oleh identitas atau sesi tersebut,” tambahnya lebih lanjut.

“Pelaku ancaman dapat memanfaatkan metode ini untuk mendapatkan kredensial tambahan, melakukan pivot ke samping, dan mendapatkan akses ke sumber daya tambahan dalam suatu lingkungan.”

Pelaku ancaman di balik serangan tersebut belum ditentukan, namun kampanye tersebut dikatakan menargetkan layanan profesional, teknologi, dan organisasi pemerintah.

Mengingat penyalahgunaan aktif dari kelemahan ini dan dengan bug Citrix yang menjadi penangkal petir bagi pelaku ancaman, sangat penting bagi pengguna untuk segera memperbarui instance mereka ke versi terbaru untuk mengurangi potensi ancaman.

“Organisasi perlu melakukan lebih dari sekedar menerapkan patch – mereka juga harus menghentikan semua sesi aktif,” kata CTO Mandiant Charles Carmakal kepada The Hacker News.

"Meskipun ini bukan kerentanan eksekusi kode jarak jauh, mohon prioritaskan penerapan patch ini mengingat eksploitasi aktif dan kritisnya kerentanan."[]