В Citrix призывают немедленно установить патч на ПО устройств NetScaler ADC и Gateway

Команда Citrix предупредила администраторов о необходимости немедленно защитить все устройства NetScaler ADC и Gateway от продолжающихся атак, использующих уязвимость CVE-2023-4966.

В Citrix призывают немедленно установить патч на ПО устройств NetScaler ADC и Gateway. Фото: СС0

В компании исправили эту критическую уязвимость раскрытия конфиденциальной информации две недели назад, присвоив ей рейтинг серьезности 9,4/10. По словам специалистов, брешь в безопасности может быть удаленно использована «неаутентифицированными злоумышленниками в атаках низкой сложности, не требующих взаимодействия с пользователем».

Устройства NetScaler уязвимы, когда настроены как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуальный сервер AAA.

Специалисты компании Mandiant, занимающаяся кибербезопасностью, заявили, что злоумышленники использовали CVE-2023-4966 с конца августа 2023 года. Хакеры похищали файлы сеансов аутентификации и захватывали учетные записи. Это, в свою очередь, делалось для обхода многофакторной аутентификации.

В Mandiant предупредили, что скомпрометированные сеансы сохраняются даже после установки исправлений и, в зависимости от разрешений скомпрометированных учетных записей, злоумышленники могут перемещаться по сети или скомпрометировать другие аккаунты.

Кроме того, команда Mandiant обнаружила случаи, когда CVE-2023-4966 использовалась для проникновения в инфраструктуру государственных учреждений и технологических корпораций.

Из сообщения Citrix:

«Теперь у нас есть сообщения об инцидентах, связанных с перехватом сеансов, и мы получили заслуживающие доверия сообщения о целевых атаках, использующих эту уязвимость. Если вы используете уязвимые сборки и настроили NetScaler ADC в качестве шлюза (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или в качестве виртуального сервера AAA, мы настоятельно рекомендуем вам немедленно установить рекомендуемые сборки, поскольку эта уязвимость была признан критическим.»

В Citrix добавили, что команда «не может провести экспертизу, чтобы определить, была ли система скомпрометирована».

В Citrix рекомендуют завершать все активные и постоянные сеансы с помощью следующих команд:

kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions

Устройства NetScaler ADC и NetScaler Gateway, если они не настроены в качестве шлюзов (включая виртуальный сервер VPN, прокси-сервер ICA, CVPN или прокси-сервер RDP) или в качестве виртуальных серверов AAA (например, типичные конфигурации балансировки нагрузки), не уязвимы для CVE-2023. -4966 атак. Тоже самое относится к NetScaler Application Delivery Management (ADM) и Citrix SD-WAN, утверждают в Citrix.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме