Carding 4 Carders
Professional
Citrix предупреждает об использовании недавно обнаруженной критической ошибки безопасности в устройствах NetScaler ADC и Gateway, которая может привести к раскрытию конфиденциальной информации.
Отслеживаемая как CVE-2023-4966 (оценка CVSS: 9,4), уязвимость затрагивает следующие поддерживаемые версии -
Хотя исправления для этой ошибки были выпущены 10 октября 2023 года, Citrix теперь пересмотрела рекомендацию, отметив, что "были обнаружены эксплойты CVE-2023-4966 на обычных устройствах".
В своем собственном предупреждении, опубликованном во вторник, компания Mandiant, принадлежащая Google, сообщила, что выявила использование уязвимости в режиме нулевого дня в дикой природе, начиная с конца августа 2023 года.
"Успешное использование может привести к возможности взлома существующих аутентифицированных сеансов, что позволит обойти многофакторную аутентификацию или другие строгие требования к аутентификации", - сказали в компании threat intelligence.
"Эти сеансы могут сохраняться после развертывания обновления для смягчения CVE-2023-4966".
Mandiant также сообщила, что обнаружила перехват сеанса, при котором данные сеанса были украдены до развертывания исправления и впоследствии использованы неуказанным субъектом угрозы.
"Перехват аутентифицированного сеанса может затем привести к дальнейшему последующему доступу на основе разрешений и объема доступа, которые были разрешены для идентификации или сеанса", - добавлено далее.
"Субъект угрозы может использовать этот метод для сбора дополнительных учетных данных, горизонтального поворота и получения доступа к дополнительным ресурсам в среде".
Источник угрозы, стоящий за атаками, не определен, но, как утверждается, кампания была нацелена на профессиональные услуги, технологии и правительственные организации.
В свете активного злоупотребления этим недостатком и того, что ошибки Citrix становятся громоотводом для участников угроз, крайне важно, чтобы пользователи быстро обновляли свои экземпляры до последней версии для смягчения потенциальных угроз.
"Организациям нужно сделать больше, чем просто применить исправление – они также должны прекратить все активные сеансы", - сказал технический директор Mandiant Чарльз Кармакал. "Хотя это не уязвимость для удаленного выполнения кода, пожалуйста, уделите приоритетное внимание развертыванию этого исправления, учитывая активную эксплуатацию и критичность уязвимости".
Отслеживаемая как CVE-2023-4966 (оценка CVSS: 9,4), уязвимость затрагивает следующие поддерживаемые версии -
- NetScaler ADC и NetScaler Gateway 14.1 до 14.1-8.50
- NetScaler ADC и NetScaler Gateway 13.1 до 13.1-49.15
- NetScaler ADC и NetScaler Gateway от 13.0 до 13.0-92.19
- NetScaler ADC и NetScaler Gateway 12.1 (в настоящее время срок службы истекает)
- NetScaler ADC 13.1-FIPS до 13.1-37.164
- NetScaler ADC 12.1-FIPS до версии 12.1-55.300 и
- NetScaler ADC 12.1-NDcPP до 12.1-55.300
Хотя исправления для этой ошибки были выпущены 10 октября 2023 года, Citrix теперь пересмотрела рекомендацию, отметив, что "были обнаружены эксплойты CVE-2023-4966 на обычных устройствах".
В своем собственном предупреждении, опубликованном во вторник, компания Mandiant, принадлежащая Google, сообщила, что выявила использование уязвимости в режиме нулевого дня в дикой природе, начиная с конца августа 2023 года.
"Успешное использование может привести к возможности взлома существующих аутентифицированных сеансов, что позволит обойти многофакторную аутентификацию или другие строгие требования к аутентификации", - сказали в компании threat intelligence.
"Эти сеансы могут сохраняться после развертывания обновления для смягчения CVE-2023-4966".
Mandiant также сообщила, что обнаружила перехват сеанса, при котором данные сеанса были украдены до развертывания исправления и впоследствии использованы неуказанным субъектом угрозы.
"Перехват аутентифицированного сеанса может затем привести к дальнейшему последующему доступу на основе разрешений и объема доступа, которые были разрешены для идентификации или сеанса", - добавлено далее.
"Субъект угрозы может использовать этот метод для сбора дополнительных учетных данных, горизонтального поворота и получения доступа к дополнительным ресурсам в среде".
Источник угрозы, стоящий за атаками, не определен, но, как утверждается, кампания была нацелена на профессиональные услуги, технологии и правительственные организации.
В свете активного злоупотребления этим недостатком и того, что ошибки Citrix становятся громоотводом для участников угроз, крайне важно, чтобы пользователи быстро обновляли свои экземпляры до последней версии для смягчения потенциальных угроз.
"Организациям нужно сделать больше, чем просто применить исправление – они также должны прекратить все активные сеансы", - сказал технический директор Mandiant Чарльз Кармакал. "Хотя это не уязвимость для удаленного выполнения кода, пожалуйста, уделите приоритетное внимание развертыванию этого исправления, учитывая активную эксплуатацию и критичность уязвимости".
