Кража данных неизбежна: от эксплуатации ошибки Citrix не спасают даже обновления

[Artifact]

Тот случай, когда исправления - не единственная мера безопасности.
Citrix предупреждает об использовании недавно обнаруженной критической уязвимости в устройствах NetScaler ADC и Gateway, которая может привести к раскрытию конфиденциальной информации. Недостаток с идентификатором CVE-2023-4966 (CVSS: 9.4) был обнаружен и устранён в октябре.
Однако для успешной эксплуатации необходимо, чтобы устройство было настроено как шлюз (VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуальный сервер авторизации и учета (Authorization And Accounting, AAA).
Хотя исправления для уязвимости были выпущены 10 октября, Citrix теперь пересмотрела рекомендации, отметив, что были обнаружены эксплойты CVE-2023-4966 на незащищенных устройствах.
Также компания Mandiant выявила факт эксплуатации уязвимости нулевого дня с конца августа. По словам специалистов компании, успешная эксплуатация может привести к перехвату активных сеансов, что позволит обойти многофакторную аутентификацию (multi-factor authentication, MFA) или другие требования строгой аутентификации. При этом сеансы могут сохраняться даже после обновления.
Перехват аутентифицированного сеанса может затем открыть дальнейший доступ в зависимости от разрешений, что позволяет киберпреступнику собрать дополнительные учетные данные, совершить боковое перемещение (Lateral Movement) и получить доступ к другим ресурсам в среде.
Mandiant также заявила, что обнаружила перехват сеанса, при котором данные сеанса были украдены до установки исправления и впоследствии использованы неустановленным злоумышленником. Источник угрозы, стоящий за атаками, не определен, но, как сообщается, кампания была нацелена на профессиональные услуги, технологии и правительственные организации.
В свете активного злоупотребления уязвимостью крайне важно, чтобы пользователи быстро обновляли свои экземпляры до последней версии для снижения потенциальных угроз. Исследователи Mandiant порекомендовали, чтобы организации не просто применили исправления, а прекратили все активные сеансы. Специалисты также напомнили, что пользователям стоит правильно расставить приоритеты для исправлений, учитывая активную эксплуатацию и уровень опасности уязвимости.