«La vulnerabilidad que hemos identificado simplemente requiere que el dispositivo se configure como una puerta de enlace o un servidor AAA virtual, exponiendo una ruta vulnerable específica que parece estar habilitada de forma predeterminada en algunas instalaciones pero no en otras (aún no estamos seguros de qué está causando esta discrepancia)», dijeron los investigadores de Bishop Fox. «Dada la falta de un requisito SAML, creemos que este desbordamiento de pila es CVE-2023-3519 y el error del analizador SAML es una vulnerabilidad separada que se ha abordado en silencio y sin el respaldo adecuado».
Los investigadores de Assetnote confirmaron el lunes, después de una mayor investigación, que en realidad parece haber dos errores de ejecución de código remoto separados: uno que no requiere SAML y probablemente sea CVE-2023-3519, y el error dependiente de SAML que encontraron originalmente.
CVE-2023-3519 era una vulnerabilidad de día cero
Según un aviso de CISA publicado el jueves, los atacantes han estado explotando la vulnerabilidad CVE-2023-3519 para implementar webshells en dispositivos desde junio. Esto significa que la vulnerabilidad tuvo un estado de día cero durante aproximadamente un mes, conocido públicamente y sin parches.
Según CISA, el ataque se descubrió en un dispositivo NetScaler perteneciente a una organización de infraestructura crítica, y los atacantes utilizaron Webshell, un script de puerta trasera basado en la web, para escanear el entorno de Active Directory (AD) de la víctima y extraer datos sobre él.
Luego, los atacantes intentaron acceder lateralmente a un controlador de dominio en la red, pero fueron bloqueados por las políticas de segmentación de la red. Los atacantes también implementaron un segundo shell web basado en PHP con capacidades de proxy para enviar tráfico SMB al controlador de dominio de destino”.
«Los actores eliminaron el archivo de configuración de autorización (/etc/auth.conf), probablemente para evitar que los usuarios configurados (por ejemplo, administradores) inicien sesión de forma remota (por ejemplo, CLI)», dijo CISA. “Para recuperar el acceso al dispositivo ADC, la organización normalmente se reiniciaría en modo de un solo uso, lo que podría eliminar los artefactos del dispositivo; Sin embargo, la víctima tenía una clave SSH que le permitía acceder al dispositivo sin tener que reiniciarlo”. Bishop Fox trabajó con la agencia de inteligencia GreyNoise, que mantiene una red de sensores para rastrear los intentos de explotación automatizados. GreyNoise no ha observado intentos de explotación desde que se agregó la detección el 21 de julio. Esto no quiere decir que no haya ataques dirigidos como en junio. A medida que se disponga de más detalles sobre la vulnerabilidad, otros atacantes podrían desarrollar exploits y la cantidad de ataques podría aumentar. El hecho de que el 53% de los dispositivos NetScaler ADC disponibles públicamente aún no hayan implementado los parches es preocupante.