CitrixCitrix به کاربران در مورد یک نقص امنیتی مهم در NetScaler Application Delivery Controller (ADC) و Gateway هشدار می‌دهد[۱] که گفته است به طور فعال در سطح اینترنت مورد بهره‌برداری قرار می‌گیرد.

این مشکل که به‌عنوان CVE-2023-3519 ردیابی می‌شود (امتیاز ۸/۹ در مقیاس CVSS)، به یک مورد تزریق کد[۲] مربوط می‌شود که می‌تواند منجر به اجرای کد از راه دور تأیید نشده باشد که بر نسخه‌های زیر تأثیر می‌گذارد:

  • NetScaler ADC و NetScaler Gateway 13.1 قبل از ۱۳٫۱-۴۹٫۱۳
  • NetScaler ADC و NetScaler Gateway 13.0 قبل از ۱۳٫۰-۹۱٫۱۳
  • NetScaler ADC و NetScaler Gateway نسخه ۱۲٫۱ (در حال حاضر پایان عمر)
  • NetScaler ADC 13.1-FIPS قبل از ۱۳٫۱-۳۷٫۱۵۹
  • NetScaler ADC 12.1-FIPS قبل از ۱۲٫۱-۵۵٫۲۹۷ و
  • NetScaler ADC 12.1-NDcPP قبل از ۱۲٫۱-۵۵٫۲۹۷

این شرکت جزئیات بیشتری در مورد نقص مربوط به CVE-2023-3519 ارائه نکرده است، جز اینکه گفته است سوءاستفاده‌هایی برای این نقص در unmitigated appliances مشاهده شده است. بااین‌حال، بهره‌برداری موفق مستلزم پیکربندی دستگاه به‌عنوان یک Gateway (سرور مجازی VPN، پروکسی ICA، CVPN، RDP Proxy) یا سرور مجازی مجوزدهی و حسابداری (AAA) است [۳].

همچنین در کنار CVE-2023-3519 دو نقص دیگر نیز وجود دارد:

  • CVE-2023-3466 (امتیاز ۳/۸ در مقیاس CVSS) – یک آسیب‌پذیری اعتبارسنجی ورودی نامناسب که منجر به حمله XSS شده است.
  • CVE-2023-3467 (امتیاز ۰/۸ در مقیاس CVSS) – یک آسیب‌پذیری مدیریت امتیاز نادرست که منجر به افزایش امتیاز به مدیر اصلی (nsroot) می‌شود.

Wouter Rijkbost و Jorren Geurts از Resillion مسئول گزارش این باگ‌ها هستند. وصله‌هایی برای رفع سه نقص در نسخه‌های زیر در دسترس قرار گرفته‌اند:

  • NetScaler ADC و NetScaler Gateway 13.1-49.13 و نسخه‌های بعدی
  • NetScaler ADC و NetScaler Gateway 13.0-91.13 و نسخه‌های بعدی ۱۳٫۰
  • NetScaler ADC 13.1-FIPS 13.1-37.159 و نسخه‌های بعدی ۱۳٫۱-FIPS
  • NetScaler ADC 12.1-FIPS 12.1-55.297 و نسخه‌های بعدی ۱۲٫۱-FIPS و
  • NetScaler ADC 12.1-NDcPP 12.1-55.297 و نسخه‌های بعدی ۱۲٫۱-NDcPP

به مشتریان NetScaler ADC و NetScaler Gateway نسخه ۱۲٫۱ توصیه می‌شود که لوازم خود را به نسخه پشتیبانی شده ارتقا دهند تا تهدیدات احتمالی را کاهش دهند.

این توسعه در بحبوحه بهره‌برداری فعال[۴] از نقص‌های امنیتی کشف شده در Adobe ColdFusion (CVE-2023-29298 و CVE-2023-38203) و افزونه WooCommerce Payments WordPress (CVE-2023-28121) انجام می‌شود.

ایجاد نقص‌های امنیتی در افزونه‌های وردپرس می‌تواند راه را برای در معرض خطر قرارگرفتن کامل باز کند و عاملان تهدید را قادر می‌سازد تا سایت‌های وردپرس در معرض خطر را برای سایر فعالیت‌های مخرب تغییر کاربری دهند.

ماه گذشته، eSentire یک کمپین حمله به نام Nitrogen را فاش کرد[۵] که در آن از سایت‌های وردپرس آلوده برای میزبانی فایل‌های تصویر مخرب ISO استفاده می‌شد که پس از راه‌اندازی، به استقرار فایل‌های DLL سرکش که قادر به تماس با یک سرور راه دور برای دریافت payloadهای اضافی، از جمله اسکریپت‌های پایتون و Cobalt Strike هستند، ختم می‌شد.

 

منابع

[۱] https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467

[۲] https://cwe.mitre.org/data/definitions/94.html

[۳] https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/how-citrix-adc-aaa-works.html

[۴] https://thehackernews.com/2023/07/cybercriminals-exploiting-woocommerce.html

[۵] https://www.esentire.com/blog/persistent-connection-established-nitrogen-campaign-leverages-dll-side-loading-technique-for-c2-communication

[۶] https://thehackernews.com/2023/07/zero-day-attacks-exploited-critical.html