Хакеры могут взломать казахстанские компании, использующие продукты Сitrix
АО "Государственная техническая служба" сообщает, что обнаружены 27 IP-адресов, использующих продукты Citrix NetScaler ADC и NetScaler Gateway, которые потенциально подвержены уязвимости с высоким уровнем критичности идентификатора CVE-2023-3519.
В соответствии с CVSSv3.1 (Common Vulnerability Scoring System) уязвимость имеет рейтинг 9.8 из 10. Она позволяет злоумышленнику выполнять произвольный код без авторизации. Уязвимость возникает при отправке слишком большого количества методов каноникализации или преобразования в сообщении SAML.
SAML — это протокол, используемый для обмена информацией об удостоверениях и правах доступа между идентификационным провайдером и сервис-провайдером.
NetScaler Application Delivery Controller (ADC) — это программно-аппаратный сетевой контроллер, который является полнофункциональным решением для обработки и распределения трафика, а также управления приложениями, которые работают в сети. Одной из главных функций NetScaler ADC является балансировка нагрузки на серверы, которая позволяет распределять запросы на несколько серверов, обеспечивая реализацию равномерного распределения запросов и предотвращая перегрузки.
Citrix NetScaler Gateway — решение для безопасного доступа к приложениям, которое расширяет возможности NetScaler ADC и позволяет пользователям безопасно подключаться к приложениям, используя шифрование SSL и VPN-соединения. Вместе с тем, Citrix NetScaler Gateway предоставляет гибкие политики и механизмы аутентификации, контроля доступа и защиты от угроз в реальном времени на уровне данных и приложений.
Известно, что в ходе массовых атак на CVE-2023-3519 с 20 июля текущего года около 640 серверов в мире Citrix Netscaler ADC и Gateway уже взломаны и заражены бэкдорами. Также годами ранее вымогательские группировки REvil и DoppelPaymer воспользовались аналогичными уязвимостями Citrix Netscaler ADC и Gateway для взлома корпоративных сетей в прошлых атаках.
Необходимо отметить, что злоумышленник, воспользовавшись уязвимостью, может внедрить вредоносное ПО, похитить конфиденциальные данные и произвести дальнейшие атаки на сеть, что поставит под угрозу безопасность инфраструктуры всей сети.
Отмечается, что 18 июля 2023 года компания Citrix опубликовала бюллетень безопасности, где, помимо CVE-2023-3519, сообщили еще о двух уязвимостях, затрагивающих продукты NetScaler ADC и NetScaler Gateway: CVE-2023-3466, CVE-2023-3467.
Национальной службой реагирования на компьютерные инциденты владельцам IP-адресов посредством MISP и электронной почты направлены уведомления с рекомендациями о необходимости незамедлительно применить рекомендации во избежание возможных рисков и угроз информационной безопасности.
Рекомендации для пользователей, использующих продукты Citrix, размещены на сайте cert.gov.kz.
Рекомендации для пользователей, использующих продукты Citrix:
- Обновить затронутое программное обеспечение до любой из поддерживаемых версий;
- Проверить актуальность подписки на модуль Security updates;
- Добавить в блокирующее правило IDPS сигнатуры "Possible Citrix ADC and NetScaler Gateway RCE";
- Проверить лог-файлы, чтобы выявить любую необычную активность или поведение на серверах с NetScaler ADC и NetScaler Gateway, например, несанкционированный доступ, изменение параметров конфигурации;
- Отслеживать сетевой трафик, идущий к серверам с NetScaler ADC и NetScaler Gateway и от него, чтобы выявить любые необычные или подозрительные активности, например, большие объемы данных, передаваемые в неизвестные IP-адреса или домены (DNS);
- Провести сканирование серверов с NetScaler ADC и NetScaler Gateway на предмет вредоносного ПО, веб-шеллов или скриптов, которые могли быть загружены в систему;
- Провести проверку на наличие необычных файлов или каталогов на серверах с NetScaler ADC и NetScaler Gateway, которые могли быть созданы злоумышленником;
- Проверить конфигурацию системы на предмет изменений, таких как добавление новых учетных записей пользователей или изменение системных настроек; в случае обнаружения сторонних учетных записей пользователей, незамедлительно отключить их.
Если вы столкнулись с инцидентом информационной безопасности, сообщайте по бесплатному номеру 1400 (круглосуточно), по ссылке на telegram-бот @KZ_CERT_chat_bot или на email: [email protected]