Citrix: немедленно обновите свои устройства, хакеры не упустят удобного случая

Компания Citrix призывает администраторов немедленно обеспечить безопасность всех устройств NetScaler ADC и Gateway из-за атак, эксплуатирующих критическую уязвимость CVE-2023-4966.

Два недели назад Citrix уже выпустила исправление для этой уязвимости, связанной с разглашением конфиденциальной информации. CVE-2023-4966 получила оценку серьёзности 9,4/10 по шкале CVSS, так как данный недостаток безопасности можно удалённо эксплуатировать без аутентификации и взаимодействия со стороны пользователя.

Для того чтобы стать уязвимыми к атакам, устройства NetScaler должны быть настроены в режиме Gateway или как AAA виртуальный сервер.

Хотя в момент выпуска исправления Citrix не выявила доказательств активной эксплуатации уязвимости, через неделю их обнаружили исследователи Mandiant, согласно данным которых, злоумышленники эксплуатировали CVE-2023-4966 начиная с конца августа 2023 года для кражи аутентификационных сессий и захвата учётных записей.

В Mandiant также подчеркнули, что даже после установки патча скомпрометированные сессии сохраняются. В зависимости от прав на учётные записи, злоумышленники могут перемещаться по сети или захватывать другие аккаунты. Были также зафиксированы случаи использования уязвимости для проникновения в инфраструктуру государственных органов и технологических корпораций.

Citrix предупредила в последнем уведомлении: «У нас есть отчёты об инцидентах, соответствующих захвату сессий, и нам поступали достоверные сообщения о целевых атаках, эксплуатирующих эту уязвимость».

Компания призвала администраторов немедленно установить рекомендованные сборки для устройств, уязвимых к атакам, а также предоставила команды для завершения всех активных и постоянных сессий:

В прошлый четверг CISA включила CVE-2023-4966 в свой каталог известных эксплуатируемых уязвимостей, обязав федеральные агентства обеспечить защиту своих систем от активной эксплуатации до 8 ноября.