NetScaler ADC и Gateway в опасности из-за критической бреши CVE-2023-4966.
Компания Citrix призывает администраторов немедленно обеспечить безопасность всех устройств NetScaler ADC и Gateway из-за атак, эксплуатирующих критическую уязвимость CVE-2023-4966.
Два недели назад Citrix уже выпустила исправление для этой уязвимости, связанной с разглашением конфиденциальной информации. CVE-2023-4966 получила оценку серьёзности 9,4/10 по шкале CVSS, так как данный недостаток безопасности можно удалённо эксплуатировать без аутентификации и взаимодействия со стороны пользователя.
Для того чтобы стать уязвимыми к атакам, устройства NetScaler должны быть настроены в режиме Gateway или как AAA виртуальный сервер.
Хотя в момент выпуска исправления Citrix не выявила доказательств активной эксплуатации уязвимости, через неделю их обнаружили исследователи Mandiant, согласно данным которых, злоумышленники эксплуатировали CVE-2023-4966 начиная с конца августа 2023 года для кражи аутентификационных сессий и захвата учётных записей.
В Mandiant также подчеркнули, что даже после установки патча скомпрометированные сессии сохраняются. В зависимости от прав на учётные записи, злоумышленники могут перемещаться по сети или захватывать другие аккаунты. Были также зафиксированы случаи использования уязвимости для проникновения в инфраструктуру государственных органов и технологических корпораций.
Citrix предупредила в последнем уведомлении: «У нас есть отчёты об инцидентах, соответствующих захвату сессий, и нам поступали достоверные сообщения о целевых атаках, эксплуатирующих эту уязвимость».
Компания призвала администраторов немедленно установить рекомендованные сборки для устройств, уязвимых к атакам, а также предоставила команды для завершения всех активных и постоянных сессий:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
В прошлый четверг CISA включила CVE-2023-4966 в свой каталог известных эксплуатируемых уязвимостей, обязав федеральные агентства обеспечить защиту своих систем от активной эксплуатации до 8 ноября.
Сбалансированная диета для серого вещества