Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Citrix призывает администраторов вручную завершать пользовательские сессии для защиты от хакеров

23/11/23

a2a62cf3-4e66-44bc-9167-ce8f2f4ad526_950c1dc0

Компания Citrix напоминает администраторам о необходимости применения дополнительных мер безопасности после устранения уязвимости «Citrix Bleed» ( CVE-2023-4966 ) в своих продуктах NetScaler ADC и NetScaler Gateway для обеспечения полной защиты от атак.

Помимо обновления безопасности, рекомендуется очистить все предыдущие пользовательские сессии и завершить активные. Этот шаг критически важен, согласно Securitylab, так как злоумышленники, использующие уязвимость Citrix Bleed, крадут токены аутентификации, что даёт им доступ к скомпрометированным устройствам даже после их обновления до безопасной версии.

Ранее специалисты Mandiant сообщали, что CVE-2023-4966 активно эксплуатировалась хакерами как уязвимость нулевого дня с конца августа 2023 года. Тем временем, разработчики Citrix устранили уязвимость своего продукта в начале октября.

Mandiant также предупредила, что скомпрометированные сессии NetScaler сохраняются после установки патча, что позволяет злоумышленникам перемещаться по сети или компрометировать другие аккаунты в зависимости от прав скомпрометированных учётных записей.

Citrix заявил в своей последней рекомендации: «Если вы используете любые из затронутых сборок, указанных в бюллетене безопасности, вам следует немедленно обновиться, установив обновлённые версии. После обновления мы рекомендуем удалить любые активные или постоянные сессии».

Это уже второй раз, когда компания предупреждает клиентов об очистке сессий. Специалисты Citrix рекомендуют использовать для этого следующие команды:

kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions

CISA и ФБР на днях предупредили , что группа LockBit активно использует уязвимость Citrix Bleed для атак. Совместное предупреждение было сделано с участием MS-ISAC и Австралийского центра кибербезопасности (ACSC). Агентства также поделились признаками компрометации и методами обнаружения для помощи специалистам безопасности.

Boeing ранее также поделилась информацией о том, как хакеры LockBit в октябре проникли в их сети, используя эксплойт Citrix Bleed, что привело к утечке 43 ГБ данных из систем Boeing прямиком в даркнет после отказа компании удовлетворить требования группы.

Примечательно, что примеру LockBit быстро последовали и другие хакерские объединения. Например, вымогательская банда Medusa в этом месяце разместила на своём сайте утечки таймер обратного отсчёта до публикации похищенных у Toyota Financial Services данных, если последние не заплатят денежный выкуп.

По данным сканирования через онлайн-сервис Shodan, неделю назад более 10 тысяч серверов Citrix, доступных через Интернет, всё ещё были уязвимы для атак с помощью Citrix Bleed.

Темы:CitrixУгрозыполитика компании
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...