Salvador, 23/01/2024 – Com foco em soluções de cibersegurança, serviços na nuvem, análise de dados e serviços gerenciados, a Think IT alerta para as falhas críticas divulgadas pela Citrix, VMware e Atlassian no último dia 17 de janeiro.

A Citrix alertou sobre duas vulnerabilidades de segurança de dia zero no NetScaler ADC (anteriormente Citrix ADC) e no NetScaler Gateway (anteriormente Citrix Gateway) que estão sendo ativamente exploradas em ambientes online. A VMware corrigiu uma falha crítica de automação do Aria; enquanto a Atlassian divulgou o bug crítico de execução de código.

“Algumas dessas vulnerabilidades expõem os sistemas e os ambientes das empresas. Na nossa avaliação, elas estão na eminência do comprometimento porque, principalmente aquelas que estão expostas na Internet, têm o risco de serem comprometidas assim que cibercriminosos voltarem sua atenção para elas”, alerta Alexandre Oliveira, gerente de Cyber Security da Think IT.

Oliveira orienta sobre as ações que as organizações devem executar o quanto antes para bloquear e se protegerem das consequências de tais vulnerabilidades.

Para o Citrix, há duas vulnerabilidades, sendo uma delas que requer maior atenção porque expõe o sistema a um ataque de negação de serviço (DoS):

• CVE-2023-6548 – Execução remota de código autenticado (com poucos privilégios) na interface de gerenciamento (requer acesso a NSIP, CLIP ou SNIP com acesso à interface de gerenciamento)
• CVE-2023-6549 – Negação de serviço (requer que o dispositivo seja configurado como Gateway ou autorização e contabilidade, ou AAA, servidor virtual)

Há ainda várias versões de Netscaler da Citrix que estão vulneráveis a esse tipo de ataque, sendo que alguns exploits já foram desenvolvidos e divulgados para fazer exploração desse tipo de vulnerabilidade:

• NetScaler ADC e NetScaler Gateway14܂1antes14܂1-12.35
• NetScaler ADC e NetScaler Gateway13܂1antes13܂1-51.15
• NetScaler ADC e NetScaler Gateway 13.0 antes de 13.0-92.21
• NetScaler ADC e NetScaler Gateway versão 12.1 (atualmente em fim de vida)
• NetScaler ADC 13.1-FIPS antes de 13.1-37.176
• NetScaler ADC 12.1-FIPS antes de 12.1-55.302 e
• NetScaler ADC 12.1-NDcPP antes de 12.1-55.302
• 
  

“A recomendação é que as organizações que têm esses sistemas Citrix, nessas versões, principalmente as expostas na internet, apliquem imediatamente os patches e eliminem o risco de exploração nessas versões”, reforça Oliveira.

No caso da VMware, Oliveira aponta que também se trata de uma vulnerabilidade muito crítica em razão do seu CVSS (Common Vulnerability Scoring System) ser de 9.9. A vulnerabilidade afeta versões específicas do VMware Aria Automation e do VMware Cloud Foundation. A orientação é que também seja aplicado imediatamente o patch na versão 8.16. “No entanto, se o patch for aplicado em uma versão intermediária, ao realizar a atualização a vulnerabilidade será reintroduzida, requerendo uma nova rodada de patching no ambiente. É preciso muita atenção e agilidade nesse caso.”

Por fim, no caso da Atlassian, a empresa já havia divulgado um banco de dados CVE e um conjunto de patches para endereçar a correção de mais de duas dúzias de vulnerabilidades, inclusive algumas delas muito críticas que permitem o RCE (Remote Code Execution) impactar no Confluence Data Center e o Confluence Server.

A vulnerabilidade de 2023 da Atlassian, a qual foi designada um score de 10 do CVSS, indicando máxima severidade, afeta diversas versões a partir da 8.0 até a 8.5. A boa notícia nesse caso é que as versões 7.19 LTS não são afetadas pela vulnerabilidade.

No entanto, esse template de injeção nas versões do Confluence Data Center e Server da Atlassian permite um ataque não autenticado para um ataque de Remote Code Execution nas versões que foram mencionadas. “E esse problema foi endereçado nas versões 8.5.4 e 8.5.5. Então, nesse caso, como se trata de uma CVSS 10.0, requer a máxima atenção dos administradores pois ela pode realmente comprometer todo um ambiente com um baixo esforço do atacante”, avisa Alexandre Oliveira.