A Citrix parece ter abordado uma vulnerabilidade em seus dispositivos NetScaler Application Delivery Control (ADC) e Gateway que permitia a atacantes remotos e não autenticados obter informações potencialmente sensíveis da memória dos sistemas afetados.
A falha era quase idêntica, mas não tão grave quanto o “CitrixBleed” (CVE-2023-4966), uma vulnerabilidade crítica zero-day nas mesmas duas tecnologias que a Citrix divulgou no ano passado, segundo pesquisadores da Bishop Fox, que descobriram e relataram a falha para a Citrix em janeiro.
Enquanto o CitrixBleed foi amplamente explorado por atacantes para implantar ransomware, roubar informações e outros fins maliciosos, a falha descoberta pela Bishop Fox em janeiro era menos perigosa porque os atacantes teriam menos chance de obter informações de alto valor de um sistema vulnerável com ela. A empresa também disse que a Citrix reconheceu a divulgação da vulnerabilidade em 1º de fevereiro. No entanto, a Citrix não atribuiu à falha um identificador CVE porque já havia abordado o problema na versão 13.1-51.15 do NetScaler, antes da divulgação.
Não está claro se a Citrix divulgou privadamente a vulnerabilidade para os clientes em algum momento, ou se ela considerou o problema levantado pela Bishop Fox como uma vulnerabilidade. Em um blog nesta semana, a Bishop Fox identificou a vulnerabilidade que descobriu como um problema de memória fora dos limites não autenticado, que basicamente consiste em bugs que permitem a um atacante acessar locais de memória além dos limites pretendidos de um programa.
Os pesquisadores exploraram a vulnerabilidade para capturar informações sensíveis, incluindo corpos de solicitação HTTP da memória de um dispositivo afetado. Assim como o CitrixBleed, a falha descoberta afetava os componentes do NetScaler quando usados para acesso remoto e como servidores de autenticação, autorização e auditoria (AAA). O código de prova de conceito demonstrou como um adversário remoto poderia explorar a vulnerabilidade para recuperar informações potencialmente úteis para um ataque.