Citrix Bleed: bug usato dagli hacker per attaccare reti governative

Alcune reti organizzative in tutto il mondo sono state attaccate da hacker, sfruttando la vulnerabilità “Citrix Bleed”, tracciata come CVE-2023-4966. I ricercatori della società di sicurezza Mandiant hanno scoperto quattro campagne, in corso dallo scorso agosto, che hanno coinvolto organizzazioni governative con apparecchiature Citrix NetScaler ADC e Gateway vulnerabili. Citrix Bleed è stata rivelata lo scorso 10 ottobre, come bug di gravità critica, che consentiva l’accesso a informazioni sensibili sui dispositivi. Gli hacker hanno sfruttato questa falla zero-day per dirottare sessioni autenticate esistenti e aggirare l’autenticazione a più fattori. Gli autori dell’attacco hanno utilizzato richieste HTTP GET appositamente predisposte per forzare l’appliance e restituire il contenuto della memoria di sistema, che include cookie di sessione Netscaler AAA valido emesso dopo l’autenticazione e dopo i controlli MFA (autenticazione multifattoriale). Grazie a questi cookie di autenticazione, gli hacker sono riusciti ad accedere al dispositivo senza dover eseguire una nuova verifica MFA.

Citrix Bleed: vulnerabilità difficile da rilevare anche dopo lo sfruttamento

Mandiant, nel suo report, spiega che la mancanza di accesso ai dispositivi rende complicata l’indagine sullo sfruttamento di Citrix Bleed, richiedendo web application firewall (WAF) e altri apparecchi di monitoraggio del traffico di rete per determinare se un dispositivo è stato sfruttato o meno. Se le reti non utilizzano questo tipo di monitoraggio, l’osservazione in tempo reale e l’analisi da parte dei ricercatori diviene impossibile. Inoltre, gli hacker riescono a rimanere furtivi anche dopo lo sfruttamento della vulnerabilità. Ciò è dovuto alle tecniche living off the land e strumenti di gestione comuni come net.exe e netscan.exe, per integrarsi con le operazioni quotidiane.

La società di sicurezza ha identificato diversi modi per verificare i tentativi sfruttamento di Citrix Bleed all’interno della rete delle organizzazioni governative. Si tratta in particolare dell’analisi delle richieste WAF, l’identificazione di modelli di accesso sospetti in base ai log di NetScaler, l’identificazione delle chiavi del registro di Windows dell'agente desktop virtuale sospette e l’analisi dei file di core dump della memoria. Mandiant ricorda ancora che i modelli di attività sospetta legati al dirottamento della sessione potrebbero essere diversi da organizzazione a organizzazione. Inoltre, le tecniche utilizzate potrebbero non essere applicabili in tutti gli scenari. Infine, per aiutare le organizzazioni a risolvere questa vulnerabilità, la società ha pubblicato un altro articolo, con una guida con i vari passi da seguire.