.
A Citrix instou os administradores a aplicarem “imediatamente” uma correção para CVE-2023-4966, um bug crítico de divulgação de informações que afeta o NetScaler ADC e o NetScaler Gateway, admitindo que foi explorado.
Além disso, há uma exploração de prova de conceito, apelidada Sangramento Citrix, agora no GitHub. Portanto, se você estiver usando uma compilação afetada, neste ponto, presuma que você foi comprometido, aplique a atualização e, em seguida, elimine todas as sessões ativas de acordo com o conselho da Citrix a partir de segunda-feira.
O primeiro da empresa emitiu um patch para dispositivos comprometidos em 10 de outubro, e na semana passada a Mandiant alertou que os criminosos – provavelmente ciberespiões – foram abusando desse buraco para sequestrar sessões de autenticação e roubar informações corporativas desde pelo menos o final de agosto.
Seis dias depois que a empresa de inteligência contra ameaças de propriedade do Google soou o alarme, a Citrix interveio.
“Se você estiver usando compilações afetadas e configurou o NetScaler ADC como um gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) ou como um servidor virtual AAA, recomendamos fortemente que você imediatamente instale as compilações recomendadas,” O vendedor disse em uma postagem no blog do Cloud Software Group sobre CVE-2023-4966 publicada na segunda-feira.
“Agora temos relatos de incidentes consistentes com sequestro de sessão e recebemos relatórios confiáveis de ataques direcionados que exploram esta vulnerabilidade”, acrescentou Citrix.
Estranhamente, a Citrix não divulgou detalhes adicionais sobre esses ataques direcionadosque a Mandiant disse na semana passada terem sido usados para atingir empresas de tecnologia, organizações governamentais e empresas de serviços profissionais.
Um porta-voz da Citrix se recusou a comentar quantas organizações foram comprometidas e quem ou o que os criminosos têm como alvo nos ataques.
“O boletim de segurança e o blog são a extensão de nossas declarações externas neste momento”, disse o porta-voz da Citrix. Strong The One.
Também na semana passada, Charles Carmakal, CTO da Mandiant Consulting avisou que “as organizações precisam fazer mais do que apenas aplicar o patch – elas também devem encerrar todas as sessões ativas. Essas sessões autenticadas persistirão após a implantação da atualização para mitigar o CVE-2023-4966.”
A Citrix, no blog de segunda-feira, também repetiu esse conselho de mitigação e disse aos clientes para encerrar todas as sessões ativas e persistentes usando os seguintes comandos:
matar icaconnection -all
matar conexão rdp -all
matar pcoipConnection -all
matar sessão aaa -all
limpar lb persistenteSessions
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na última quarta-feira adicionado CVE-2023-4966 ao seu Catálogo de Explorações e Vulnerabilidades Conhecidas e classificou o bug como “desconhecido” na coluna “usado em campanhas de ransomware”. A adição significa que as agências federais, e aquelas que fazem negócios com elas, devem ter este problema corrigido.
Embora os ataques até o momento estejam mais provavelmente ligados a campanhas de espionagem, “prevemos que outros atores de ameaças com motivações financeiras explorarão isso ao longo do tempo”, disse Carmakal anteriormente. Mas vamos ser sinceros, eles costumam fazer isso. ®
.
