> [!warning] CVSS 8.0 - Alto > Escalonamento de privilégios para root administrator (nsroot) via abuso do STA Broker e SUID inadequado - requer acesso autenticado de baixo privilégio. > [!info] Contexto > Publicado junto com [[cve-2023-3519|CVE-2023-3519]] (RCE crítico) e CVE-2023-3466 (XSS) no mesmo bulletin Citrix de julho de 2023. Quando encadeado com CVE-2023-3519, resulta em comprometimento root remoto completo. > [!success] Patch Disponível > Patches da Citrix de 18/07/2023. Mesmas versões corrigidas do CVE-2023-3519. # CVE-2023-3467 - Citrix NetScaler ADC/Gateway Escalação de Privilégio para Root > [!high] CVSS 8.0 - Escalação de Privilégio para Root no NetScaler ADC/Gateway ## Visão Geral A [[cve-2023-3467|CVE-2023-3467]] é uma vulnerabilidade de **escalação de privilégio** nos produtos **Citrix NetScaler ADC** e **NetScaler Gateway**, que permite que um atacante autenticado com credenciais de baixo privilégio escale para o nível de administrador root (`nsroot`). Corrigida no bulletin Citrix de julho de 2023, a CVE torna-se especialmente perigosa quando encadeada com [[cve-2023-3519|CVE-2023-3519]] (RCE não autenticado) - a combinação dos dois resulta em comprometimento root remoto completo sem qualquer credencial válida. O NetScaler ADC/Gateway é utilizado como gateway VPN e balanceador de carga em milhares de organizações globalmente. A cadeia CVE-2023-3519 + CVE-2023-3467 foi amplamente explorada por grupos de ransomware em 2023, tornando estes dispositivos alvos prioritários de monitoramento e remediação urgente. > [!latam] Impacto LATAM > O Citrix NetScaler é amplamente implantado como gateway VPN em grandes bancos, operadoras e órgãos governamentais brasileiros. A escalação para root via esta CVE, especialmente em cadeia com **CVE-2023-3519**, pode comprometer completamente a infraestrutura de acesso remoto de uma organização - ponto de entrada para campanhas de ransomware e espionagem. ## Resumo **CVE-2023-3467** é uma vulnerabilidade de **escalonamento de privilégios** (CWE-269 - Improper Privilege Management) nos produtos **Citrix NetScaler ADC** e **NetScaler Gateway**, permitindo que um usuário autenticado com baixos privilégios escale para o nível de **root administrator (nsroot)** - o administrador raiz do dispositivo. A vulnerabilidade reside no **STA Broker** (Secure Ticket Authority broker), processo usado para gerenciamento de tickets no NetScaler. O processo utiliza práticas inseguras de código e verifica incorretamente permissões de grupo (verifica se o usuário pertence ao grupo `nsroot`, mas não se é o próprio `nsroot`), permitindo execução de comandos como root. A exploração direta requer acesso inicial com qualquer conta de baixo privilégio - mas quando **encadeada com [[cve-2023-3519|CVE-2023-3519]]** (RCE não autenticado), torna-se um vetor de comprometimento root completo sem qualquer credencial. **Pontuação de risco:** - CVSS v3.1: **8.0** (Alto) - vetor de rede adjacente, requer baixo privilégio - Potencial CVSS efetivo quando encadeado com CVE-2023-3519: crítico - PoC público disponível ## Detalhes Técnicos A vulnerabilidade no STA Broker do NetScaler: 1. **Processo STA Broker:** Binário proprietário (possívelmente SUID-root) que verifica pertencimento ao grupo `nsroot`, não a identidade do usuário 2. **Abuso de SUID:** O binário tem permissões SUID-root (`-rwsr-xr-x`) mas verifica apenas o grupo, não o usuário 3. **Injeção de comando:** Via parâmetro de ping manipulado, o atacante injeta comandos de shell que executam como root 4. **Shell root:** `sudo /netscaler/portal/scripts/....//ping "127...1; /bin/sh"` resulta em shell root ```bash # Exemplo conceitual de exploração sudo /netscaler/portal/scripts/....//ping "127...1; id" # Retorna: uid=0(root) gid=0(root) ``` ## Exploração **Status atual:** PoC público disponível. Exploração prática requer acesso autenticado inicial - crítico quando encadeado com CVE-2023-3519. O encadeamento CVE-2023-3519 (RCE não autenticado) + CVE-2023-3467 (escalonamento para root) representa uma cadeia de exploração completa que transforma acesso inicial em controle root total do appliance sem qualquer credencial válida. **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - acesso inicial via CVE-2023-3519 - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalonamento via CVE-2023-3467 - [[t1505-003-web-shell|T1505.003 - Web Shell]] - pós-exploração com acesso root ## Mitigação **Patch oficial:** - Mesmo bulletin Citrix CTX561482 que CVE-2023-3519 - Versões corrigidas idênticas ao [[cve-2023-3519|CVE-2023-3519]] - NetScaler ADC/Gateway 13.1-49.13+, 13.0-91.13+ **Não há workaround seguro:** A única mitigação efetiva é o upgrade de versão. Desabilitar SSH não mitiga se qualquer acesso local for possível. ## Notas Relacionadas **CVEs relacionados:** [[cve-2023-3519|CVE-2023-3519]] · [[cve-2023-4966|CVE-2023-4966]] · [[cve-2019-19781|CVE-2019-19781]] **TTPs relacionadas:** [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Setores em risco:** [[government]] · [[financial]] · [[healthcare|saúde]] ## Referências - [NVD - CVE-2023-3467](https://nvd.nist.gov/vuln/detail/CVE-2023-3467) - [Citrix Security Bulletin CTX561482](https://support.citrix.com/external/article/CTX561482) - [CVE.news - CVE-2023-3467 Exploit Analysis](https://www.cve.news/CVE-2023-3467/) - [Tenable Blog - CVE-2023-3519 Context](https://www.tenable.com/blog/CVE-2023-3519-critical-rce-in-netscaler-adc-citrix-adc-and-netscaler-gateway-citrix-gateway)