CVE-2024-6235: Bypass di Autenticazione Critico nella Console Citrix NetScaler

In luglio 2024, Citrix ha rivelato una vulnerabilità di sicurezza critica nel software NetScaler Console. Questa falla, presente nella versione 14.1 fino ma non inclusa la 14.1-25.53, potrebbe consentire a un utente malintenzionato di ottenere accesso amministrativo non autorizzato. Sebbene inizialmente descritta come una semplice “esposizione di informazioni”, è stato riscontrato che la vulnerabilità consente agli aggressori di aggirare completamente l’autenticazione, comportando rischi significativi per le organizzazioni che utilizzano le versioni interessate del software.

Citrix-NetScaler
2025-05-20 10:10:46
Trending, Fix Available

Riassunto tecnico

CVE-2024-6235 è una vulnerabilità critica (punteggio CVSS v4: 9.4) nella Citrix NetScaler Console 14.1, derivante da una autenticazione impropria (CWE-287). La falla risiede in un endpoint API interno (/internal/v2/config/mps_secret/ADM_SESSIONID) che aggira in modo improprio i controlli di validazione della sessione. Quando vengono inviati header HTTP specifici (Tenant-Name: Owner, User-Name: nsroot, Mps-Internal-Request: true), un attaccante può ottenere un ID di sessione amministrativa valido senza autenticazione.

Questo ID di sessione può essere riutilizzato in richieste API per svolgere azioni amministrative, come la creazione di nuovi utenti super admin. La vulnerabilità deriva dalla fiducia nel processo interno mas_service, che gestisce richieste su HTTP/HTTPS alle porte 80 e 443. L’accesso all’API interna non richiede header di autenticazione o cookie di sessione, ma solo una richiesta appositamente costruita.

I ricercatori hanno confermato l’impatto creando nuovi account amministrativi utilizzando l’ID di sessione e hanno osservato che ulteriori token di richiesta (rand_key) erano necessari per operazioni che modificano lo stato, come la creazione di utenti. Con ulteriore analisi, tali token potrebbero potenzialmente essere bypassati o previsti.

Raccomandazioni

  • Azione immediata: aggiornare NetScaler Console alla versione 14.1-25.53 o successiva, in cui la vulnerabilità è stata corretta.

  • Segmentazione della rete: assicurarsi che le interfacce di gestione (come NetScaler Console) non siano esposte a internet. Limitare l’accesso alle sole reti interne di fiducia.

  • Monitoraggio: analizzare i log per identificare modelli di accesso anomali o creazione non autorizzata di utenti, in particolare verso l’endpoint interno /mps_secret/ADM_SESSIONID.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In