Breve histórico do Citrix Bleed
O Citrix Bleed, uma vulnerabilidade crítica no Citrix NetScaler®, tem recebido uma cobertura considerável nas publicações do setor de computação. Esta postagem fornecerá informações sobre o Citrix Bleed e por que a história continua a ser abordada meses após a descoberta da vulnerabilidade.
Descoberta inicial e mitigação
Em 18 de julho de 2023, o Cloud Software Group (CSG), a empresa resultante da fusão da Citrix® e da TIBCO® em 2022, anunciou três vulnerabilidades críticas descobertas no NetScaler® ADC e no NetScaler Gateway gerenciados pelo cliente como um Boletim de Segurança no Citrix Knowledge Center. De acordo com o boletim, a vulnerabilidade mais crítica, CVE-2023-3519, já havia sido explorada.
Naquela ocasião, o CSG recomendou que versões atualizadas do software NetScaler ADC e Gateway fossem instaladas em dispositivos não mitigados e também lançou atualizações de segurança, pedindo aos clientes que aplicassem os patches o mais rápido possível.
Em 20 de julho de 2023, a Cybersecurity and Infrastructure Security Agency (CISA), parte do Departamento de Segurança Interna dos Estados Unidos (DHS), emitiu um Cybersecurity Advisory reconhecendo que o CVE-2023-3519 havia sido explorado contra uma organização de infraestrutura crítica dos EUA em junho de 2023 e relatado à CISA em julho. (OBSERVAÇÃO: os identificadores CVE são atribuídos por uma das aproximadamente 100 autoridades de numeração CVE (CNAs); a MITRE Corporation é a editora e a principal CNA da organização).
Nessa exploração, os hackers instalaram um shell da Web (malware que permite acesso remoto a um servidor da Web) no dispositivo NetScaler ADC da organização. Esse ato permitiu que os hackers roubassem dados do Active Directory (AD) da organização, incluindo informações sobre usuários, grupos, aplicativos e dispositivos na rede.
Felizmente, o dispositivo visado estava isolado dentro da rede da organização, de modo que os hackers não conseguiram comprometer o controlador de domínio, que fornece serviços de autenticação e autorização para o domínio do AD. A organização conseguiu se defender dos hackers e limitar o ataque.
Naquela época, a Shadowserver Foundation estimou que mais de 15.000 servidores Citrix localizados em todo o mundo corriam o risco de serem comprometidos, a menos que as correções fossem aplicadas.
Evolução para o Citrix Bleed
Em 10 de outubro de 2023, o CSG divulgou uma nova vulnerabilidade nos dispositivos NetScaler ADC e NetScaler Gateway gerenciados pelo cliente. Essa vulnerabilidade, que recebeu o identificador CVE-2023-4966, recebeu o nome comum de Citrix Bleed, que faz alusão a uma notória vulnerabilidade de 2014 chamada Heartbleed, que foi explorada extensivamente e permitiu que os hackers roubassem informações confidenciais, como senhas, chaves de criptografia e credenciais bancárias.
O Citrix Bleed permite que invasores remotos não autenticados extraiam dados da memória de um dispositivo NetScaler vulnerável, incluindo tokens de sessão confidenciais. De forma alarmante, aproveitar a vulnerabilidade é bastante simples e permite que um hacker assuma o controle da rede gerenciada pelo dispositivo NetScaler e use tokens de sessão que autenticam as solicitações do usuário e permitem o acesso aos dados do usuário sem a necessidade de uma senha ou do uso de autenticação de dois fatores.
O CSG emitiu correções para o Citrix Bleed, mas, em17 de outubro, atualizou seu aviso de segurança para revelar que havia observado a exploração na natureza - ou seja, evidências de que a vulnerabilidade já estava sendo aproveitada em muitas organizações. Na verdade, algumas empresas de segurança cibernética detectaram que a vulnerabilidade estava sendo explorada já no final de agosto.
As explorações Citrix Bleed provavelmente estão em andamento
Até o momento em que este artigo foi escrito, muitas organizações de grande porte divulgaram violações de segurança possibilitadas pelo Citrix Bleed, incluindo a Boeing e a Xfinity. Há vários grupos de ameaças trabalhando ativamente para continuar explorando o Citrix Bleed para adquirir informações confidenciais para vender, pedir resgate ou usar como parte de uma operação de coleta de informações. E, enquanto esses grupos continuarem a utilizar o Citrix Bleed, a mídia do setor continuará a cobrir as violações resultantes.
Por que esses grupos ainda estão tentando explorar o Citrix Bleed? Conforme observado acima, o Citrix Bleed é fácil de ser explorado se uma organização tiver negligenciado a aplicação do patch apropriado - mas, além de aplicar o patch, a TI também deve invalidar os tokens de sessão ativos e persistentes antes de reiniciar o dispositivo. Essa invalidação impede que um hacker acesse tokens de sessão válidos na memória e os utilize para assumir o controle de sessões ativas e acessar informações confidenciais do usuário.
Como o Citrix Bleed é muito fácil de ser explorado, qualquer organização que use o NetScaler deve presumir que seus dispositivos foram comprometidos, garantir que todos os patches apropriados tenham sido aplicados e que os tokens de sessão tenham sido invalidados. Além disso, a TI deve examinar minuciosamente todos os dispositivos de rede e toda a infraestrutura em busca de sinais de comprometimento - várias empresas de segurança publicaram orientações de segurança detalhadas e gratuitas para ajudar.
E agora?
Para os clientes da Citrix - especialmente aqueles que utilizam o NetScaler em sua infraestrutura de computação - o Citrix Bleed tem sido uma experiência angustiante. Como resultado, alguns deles podem questionar se a recente aquisição e fusão da Citrix com a TIBCO distraiu a equipe de produtos NetScaler e retardou o reconhecimento de várias falhas críticas de segurança em seus produtos. Alguns clientes da Citrix/CSG podem se perguntar se outros elementos da infraestrutura altamente complexa da Citrix/CSG podem estar em risco.
Se você é um ISV ou MSP que está reavaliando o uso da Citrix para fornecer aplicativos Windows aos clientes, ou deseja reduzir a complexidade da infraestrutura de computação do usuário final ou cortar o custo de fornecimento de aplicativos Windows, considere a GO-Global.
Com a publicação de aplicativos GO-Global, os aplicativos Windows são executados em um servidor, que pode ser instalado em qualquer nuvem pública, privada ou híbrida. A GO-Global aproveita a infraestrutura existente de seus serviços de nuvem e os recursos de segurança e escalabilidade para oferecer funcionalidade avançada com menos complexidade, menor custo e menor risco.
Para as organizações que se preocupam com a segurança, a GO-Global oferece suporte à autenticação de dois fatores e é a única solução de publicação de aplicativos do Windows que oferece suporte a Single Sign-On para OpenID® Connect (OIDC), o que permite que as organizações usem provedores de identidade OIDC, como Okta® e Microsoft® Active Directory Federated Services (ADFS), para logon único nos hosts Windows da GO-Global.
Apesar de seu baixo custo, o GO-Global oferece escalabilidade de nível empresarial, mas é fácil de instalar, configurar e usar, além de proporcionar uma excelente experiência ao usuário, incluindo logins rápidos e latência mínima, mesmo em conexões de baixa largura de banda.
Reduzir a complexidade. Reduzir os custos. Reduzir os riscos.
Obtenha o GO-Global.
Para saber mais, solicite uma demonstração aqui ou faça o download de uma avaliação gratuita de 30 dias.
