Новости Citrix призывает администраторов вручную завершать пользовательские сессии для защиты от хакеров

[NewsMaker]

Когда одного лишь патча становится мало для обеспечения безопасности.

---

---

Компания Citrix Для просмотра ссылки Войди или Зарегистрируйся о необходимости применения дополнительных мер безопасности после устранения уязвимости «Citrix Bleed» ( Для просмотра ссылки Войди или Зарегистрируйся ) в своих продуктах NetScaler ADC и NetScaler Gateway для обеспечения полной защиты от атак.

Помимо обновления безопасности, рекомендуется очистить все предыдущие пользовательские сессии и завершить активные. Этот шаг критически важен, так как злоумышленники, использующие уязвимость Citrix Bleed, крадут токены аутентификации, что даёт им доступ к скомпрометированным устройствам даже после их обновления до безопасной версии.

Ранее специалисты Mandiant Для просмотра ссылки Войди или Зарегистрируйся , что CVE-2023-4966 активно эксплуатировалась хакерами как уязвимость нулевого дня с конца августа 2023 года. Тем временем, разработчики Citrix устранили уязвимость своего продукта в начале октября.

Mandiant также предупредила, что скомпрометированные сессии NetScaler сохраняются после установки патча, что позволяет злоумышленникам перемещаться по сети или компрометировать другие аккаунты в зависимости от прав скомпрометированных учётных записей.

Citrix заявил в Для просмотра ссылки Войди или Зарегистрируйся : «Если вы используете любые из затронутых сборок, указанных в бюллетене безопасности, вам следует немедленно обновиться, установив обновлённые версии. После обновления мы рекомендуем удалить любые активные или постоянные сессии».

Это уже второй раз, когда компания предупреждает клиентов об очистке сессий. Специалисты Citrix рекомендуют использовать для этого следующие команды:

kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions

CISA и ФБР на днях Для просмотра ссылки Войди или Зарегистрируйся , что группа LockBit активно использует уязвимость Citrix Bleed для атак. Совместное предупреждение было сделано с участием MS-ISAC и Австралийского центра кибербезопасности ( ACSC ). Агентства также поделились признаками компрометации и методами обнаружения для помощи специалистам безопасности.

Boeing ранее Для просмотра ссылки Войди или Зарегистрируйся о том, как хакеры LockBit в октябре проникли в их сети, используя эксплойт Citrix Bleed, что привело к утечке 43 ГБ данных из систем Boeing прямиком в даркнет после отказа компании удовлетворить требования группы.

Примечательно, что примеру LockBit быстро последовали и другие хакерские объединения. Например, вымогательская банда Medusa в этом месяце Для просмотра ссылки Войди или Зарегистрируйся на своём сайте утечки таймер обратного отсчёта до публикации похищенных у Toyota Financial Services данных, если последние не заплатят денежный выкуп.

По данным сканирования через онлайн-сервис Shodan , неделю назад более 10 тысяч серверов Citrix, доступных через Интернет, всё ещё были уязвимы для атак с помощью Citrix Bleed.