> [!danger] CVSS 9.8 - Crítico > RCE não autenticado em NetScaler ADC/Gateway configurado como Gateway ou servidor AAA. Explorado como zero-day para implantação de webshells e exfiltração de dados AD. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2023-07-19, apenas 1 dia após o patch. Zero-day explorado em infraestrutura crítica dos EUA. > [!success] Patch Disponível > Patches da Citrix de 18/07/2023. Appliances NetScaler ADC/Gateway 12.1 estão em EOL - atualizar imediatamente para versão suportada. # CVE-2023-3519 - Citrix NetScaler ADC/Gateway Unauthenticated RCE > CVSS: 9.8 · EPSS: 97% · Vendor: Citrix · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2023-3519** é uma vulnerabilidade crítica de **execução remota de código não autenticada** (CWE-94 - Code Injection) no **Citrix NetScaler ADC** (anteriormente Citrix ADC) e **NetScaler Gateway** (anteriormente Citrix Gateway). A vulnerabilidade afeta appliances configurados como Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou servidor virtual AAA. A [[_intel/sources|CISA]] e a [[_intel/sources|Mandiant]] investigaram exploração ativa como zero-day em junho de 2023 - antes do patch de julho - onde atores de ameaça implantaram webshells em appliances NetScaler ADC de uma organização de infraestrutura crítica, coletaram e exfiltraram dados do Active Directory. A NSA atribui exploração zero-day anterior de appliances Citrix ADC ao grupo [[g1023-apt5]] (China). **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **97%** de probabilidade de exploração - CISA KEV: adicionado em 2023-07-19 - Zero-day explorado em infraestrutura crítica antes do patch ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por NetScaler ADC/Gateway<br/>expostos na internet"] --> B["💥 Exploração CVE-2023-3519<br/>Code Injection via requisição<br/>HTTP sem autenticação"] B --> C["🛡️ Implantação de Webshells<br/>info.php, prod.php, log.php<br/>em /var/vpn/themes/"] C --> D["🔑 Coleta de Credenciais<br/>Cópia de ns.conf e chaves<br/>de criptografia do appliance"] D --> E["🔗 Movimento Lateral<br/>Tentativa de acesso ao<br/>Domain Controller via RDP"] E --> F["📤 Exfiltração de Dados AD<br/>Coleta de dados do Active<br/>Directory via tunneler reverso"] F --> G["🛡️ Persistência<br/>Tunneler TCP/TLS reverso<br/>com entrada crontab"] ``` ## Detalhes Técnicos A vulnerabilidade é classificada como Code Injection (CWE-94) no processamento de requisições em appliances NetScaler configurados como Gateway: 1. **Pré-requisito:** O appliance deve estar configurado como Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou servidor AAA 2. **Injeção de código:** Requisição maliciosa especialmente elaborada aciona execução de código arbitrário no appliance 3. **Sem autenticação:** A exploração ocorre antes do processo de autenticação do usuário 4. **Webshells implantados:** Atores observados implantando múltiplos webshells (info.php, prod.php, log.php, etc.) 5. **Persistência:** Instalação de tunneler reverso (baseado em ligolo-ng) para persistência com entrada crontab ## Exploração **Status atual:** Exploração massiva confirmada - inclui organizações de infraestrutura crítica dos EUA. **Grupos de ameaça utilizando:** - [[g1023-apt5]] - grupo China-nexus atribuído pela NSA pela exploração de zero-days em dispositivos Citrix ADC; ataque anterior documentado no relatório NSA sobre APT5 e Citrix **TTPs observadas pela CISA/Mandiant:** - Implantação de 6 webshells únicos no appliance comprometido - Cópia do arquivo `ns.conf` e chaves de criptografia - Tentativa de movimento lateral para domain controller via RDP - Desativação do NetScaler High Availability File Sync (nsfsyncd) - Instalação de tunneler TCP/TLS reverso persistente **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do NetScaler Gateway - [[t1505-003-web-shell|T1505.003 - Web Shell]] - múltiplos webshells implantados - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - exfiltração de dados AD e credenciais - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - movimento lateral para domain controller - [[t1053-003-cron|T1053.003 - Cron]] - persistência via crontab - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - tunneler TCP/TLS reverso baseado em ligolo-ng ## Mitigação **Patch oficial:** - Bulletin Citrix CTX561482 - patches de 18/07/2023 - NetScaler ADC/Gateway 13.1: atualizar para 13.1-49.13+ - NetScaler ADC/Gateway 13.0: atualizar para 13.0-91.13+ - Versão 12.1 está em EOL - migrar para versão suportada imediatamente **Ações de resposta a incidente:** 1. Verificar webshells nos diretórios `/var/vpn/themes/` e `/netscaler/ns_gui/` 2. Auditar logs para sessões de NSIP para endpoints internos (movimento lateral) 3. Rotacionar segredos do arquivo `ns.conf` e certificados TLS 4. Verificar entrada crontab do usuário `nobody` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O Citrix NetScaler ADC e Gateway são amplamente utilizados em grandes corporações e órgãos governamentais brasileiros, especialmente nos setores **financeiro**, **governo federal** e **telecomúnicações**. Appliances Citrix servem como ponto de entrada VPN para milhares de funcionários remotos em bancos, seguradoras e ministérios. > > No Brasil, a adoção de appliances de borda Citrix em infraestruturas críticas - como data centers de bancos e redes governamentais - torna esta CVE particularmente perigosa. Organizações que não aplicaram o patch ficaram expostas a exfiltração de credenciais do Active Directory, comprometendo toda a cadeia de acesso corporativo. O CERT.br emitiu alertas sobre a necessidade de patching urgente. > > A região LATAM historicamente apresenta ciclos de patching mais longos em appliances de borda, aumentando a janela de exposição. Empresas de **energia**, **saúde** e **telecomúnicações** que utilizam NetScaler como gateway VPN devem considerar esta CVE como prioridade máxima de remediação. ## Notas Relacionadas **CVEs relacionados:** [[cve-2023-4966|CVE-2023-4966]] · [[cve-2023-3467|CVE-2023-3467]] · [[cve-2019-19781|CVE-2019-19781]] **Atores explorando:** [[g1023-apt5]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] **Setores em risco:** [[government]] · [[healthcare|saúde]] · [[financial]] · [[critical-infrastructure|infraestrutura crítica]] ## Referências - [NVD - CVE-2023-3519](https://nvd.nist.gov/vuln/detail/CVE-2023-3519) - [Citrix Security Bulletin CTX561482](https://support.citrix.com/external/article/CTX561482) - [CISA Advisory AA23-201A](https://www.cisa.gov/uscert/ncas/alerts/aa23-201a) - [Mandiant - Citrix Zero-Day Espionage](https://cloud.google.com/blog/topics/threat-intelligence/citrix-zero-day-espionage/) - [Tenable Blog - CVE-2023-3519 Analysis](https://www.tenable.com/blog/CVE-2023-3519-critical-rce-in-netscaler-adc-citrix-adc-and-netscaler-gateway-citrix-gateway)