Бесплатно Экспресс-аудит сайта:

25.10.2023

Citrix: немедленно обновите свои устройства, хакеры не упустят удобного случая

Компания Citrix призывает администраторов немедленно обеспечить безопасность всех устройств NetScaler ADC и Gateway из-за атак, эксплуатирующих критическую уязвимость CVE-2023-4966.

Два недели назад Citrix уже выпустила исправление для этой уязвимости, связанной с разглашением конфиденциальной информации. CVE-2023-4966 получила оценку серьёзности 9,4/10 по шкале CVSS , так как данный недостаток безопасности можно удалённо эксплуатировать без аутентификации и взаимодействия со стороны пользователя.

Для того чтобы стать уязвимыми к атакам, устройства NetScaler должны быть настроены в режиме Gateway или как AAA виртуальный сервер.

Хотя в момент выпуска исправления Citrix не выявила доказательств активной эксплуатации уязвимости, через неделю их обнаружили исследователи Mandiant , согласно данным которых, злоумышленники эксплуатировали CVE-2023-4966 начиная с конца августа 2023 года для кражи аутентификационных сессий и захвата учётных записей.

В Mandiant также подчеркнули, что даже после установки патча скомпрометированные сессии сохраняются. В зависимости от прав на учётные записи, злоумышленники могут перемещаться по сети или захватывать другие аккаунты. Были также зафиксированы случаи использования уязвимости для проникновения в инфраструктуру государственных органов и технологических корпораций.

Citrix предупредила в последнем уведомлении: «У нас есть отчёты об инцидентах, соответствующих захвату сессий, и нам поступали достоверные сообщения о целевых атаках, эксплуатирующих эту уязвимость».

Компания призвала администраторов немедленно установить рекомендованные сборки для устройств, уязвимых к атакам, а также предоставила команды для завершения всех активных и постоянных сессий:

kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions

В прошлый четверг CISA включила CVE-2023-4966 в свой каталог известных эксплуатируемых уязвимостей, обязав федеральные агентства обеспечить защиту своих систем от активной эксплуатации до 8 ноября.