Citrix призывает администраторов вручную завершать пользовательские сессии для защиты от хакеров

Компания Citrix напоминает администраторам о необходимости применения дополнительных мер безопасности после устранения уязвимости «Citrix Bleed» ( CVE-2023-4966 ) в своих продуктах NetScaler ADC и NetScaler Gateway для обеспечения полной защиты от атак.

Помимо обновления безопасности, рекомендуется очистить все предыдущие пользовательские сессии и завершить активные. Этот шаг критически важен, так как злоумышленники, использующие уязвимость Citrix Bleed, крадут токены аутентификации, что даёт им доступ к скомпрометированным устройствам даже после их обновления до безопасной версии.

Ранее специалисты Mandiant сообщали , что CVE-2023-4966 активно эксплуатировалась хакерами как уязвимость нулевого дня с конца августа 2023 года. Тем временем, разработчики Citrix устранили уязвимость своего продукта в начале октября.

Mandiant также предупредила, что скомпрометированные сессии NetScaler сохраняются после установки патча, что позволяет злоумышленникам перемещаться по сети или компрометировать другие аккаунты в зависимости от прав скомпрометированных учётных записей.

Citrix заявил в своей последней рекомендации : «Если вы используете любые из затронутых сборок, указанных в бюллетене безопасности, вам следует немедленно обновиться, установив обновлённые версии. После обновления мы рекомендуем удалить любые активные или постоянные сессии».

Это уже второй раз, когда компания предупреждает клиентов об очистке сессий. Специалисты Citrix рекомендуют использовать для этого следующие команды:

kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions

CISA и ФБР на днях предупредили , что группа LockBit активно использует уязвимость Citrix Bleed для атак. Совместное предупреждение было сделано с участием MS-ISAC и Австралийского центра кибербезопасности (ACSC). Агентства также поделились признаками компрометации и методами обнаружения для помощи специалистам безопасности.

Boeing ранее также поделилась информацией о том, как хакеры LockBit в октябре проникли в их сети, используя эксплойт Citrix Bleed, что привело к утечке 43 ГБ данных из систем Boeing прямиком в даркнет после отказа компании удовлетворить требования группы.

Примечательно, что примеру LockBit быстро последовали и другие хакерские объединения. Например, вымогательская банда Medusa в этом месяце разместила на своём сайте утечки таймер обратного отсчёта до публикации похищенных у Toyota Financial Services данных, если последние не заплатят денежный выкуп.

По данным сканирования через онлайн-сервис Shodan, неделю назад более 10 тысяч серверов Citrix, доступных через Интернет, всё ещё были уязвимы для атак с помощью Citrix Bleed.