Η Citrix υπενθύμισε στους διαχειριστές σήμερα ότι πρέπει να λάβουν πρόσθετα μέτρα μετά την επιδιόρθωση των συσκευών
NetScaler
έναντι της ευπάθειας CVE-2023-4966 «
Citrix Bleed
» για την ασφάλεια των ευάλωτων συσκευών από επιθέσεις.
Εκτός από την εφαρμογή των απαραίτητων ενημερώσεων ασφαλείας, συνιστάται επίσης να διαγράψουν όλες τις προηγούμενες περιόδους σύνδεσης χρήστη και να τερματίσουν όλες τις ενεργές.
Αυτό είναι ένα κρίσιμο βήμα, δεδομένου ότι οι εισβολείς πίσω από τη συνεχιζόμενη εκμετάλλευση του Citrix Bleed έχουν κλέψει διακριτικά ελέγχου ταυτότητας, επιτρέποντάς τους να έχουν πρόσβαση σε παραβιασμένες
συσκευές
ακόμη και μετά την επιδιόρθωση τους.
Η Citrix διόρθωσε το ελάττωμα στις αρχές Οκτωβρίου, αλλά η Mandiant αποκάλυψε ότι ήταν υπό ενεργή εκμετάλλευση ως zero-day τουλάχιστον από τα τέλη Αυγούστου 2023.
Η Mandiant προειδοποίησε επίσης ότι οι παραβιασμένες περίοδοι λειτουργίας NetScaler παραμένουν μετά την ενημέρωση κώδικα, επιτρέποντας στους εισβολείς να μετακινούνται πλευρικά στο δίκτυο ή να διακυβεύουν άλλους λογαριασμούς ανάλογα με τα δικαιώματα των παραβιασμένων λογαριασμών.
“Εάν χρησιμοποιείτε οποιαδήποτε από τις επηρεαζόμενες εκδόσεις που αναφέρονται στο ενημερωτικό δελτίο ασφαλείας, θα πρέπει να κάνετε αναβάθμιση αμέσως εγκαθιστώντας τις ενημερωμένες εκδόσεις. Μετά την αναβάθμιση, σας συνιστούμε να αφαιρέσετε τυχόν ενεργές ή επίμονες περιόδους λειτουργίας”, Citrix
είπε
σήμερα.
Αυτή είναι η δεύτερη φορά που η εταιρεία προειδοποιεί τους πελάτες να σκοτώσουν όλες τις ενεργές και επίμονες συνεδρίες χρησιμοποιώντας τις ακόλουθες εντολές:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
Εκμεταλλεύεται σε επιθέσεις ransomware LockBit
Οι υπηρεσίες μοιράστηκαν επίσης δείκτες συμβιβασμού και μεθόδων ανίχνευσης για να βοηθήσουν τους υπερασπιστές να αποτρέψουν τις επιθέσεις της ομάδας ransomware.
Η Boeing μοιράστηκε επίσης πληροφορίες σχετικά με τον τρόπο με τον οποίο η LockBit παραβίασε το δίκτυό της τον Οκτώβριο χρησιμοποιώντας μια εκμετάλλευση Citrix Bleed, η οποία οδήγησε στη
διαρροή
43 GB δεδομένων από τα συστήματα της Boeing στον σκοτεινό ιστό, αφού η εταιρεία αρνήθηκε να ενδώσει στις απαιτήσεις της συμμορίας ransomware.
“Η Boeing παρατήρησε ότι οι θυγατρικές της LockBit 3.0 εκμεταλλεύονται το CVE-2023-4966, για να αποκτήσουν αρχική πρόσβαση στην Boeing Distribution Inc., τα ανταλλακτικά και τις επιχειρήσεις διανομής της που διατηρεί ξεχωριστό περιβάλλον. Άλλα έμπιστα τρίτα μέρη έχουν παρατηρήσει παρόμοια δραστηριότητα που επηρεάζει τον οργανισμό τους.”
προειδοποιεί η κοινή συμβουλευτική
.
“Απαντώντας στο CVE-2023-4966 που αποκαλύφθηκε πρόσφατα, που επηρεάζει τις συσκευές Citrix NetScaler ADC και NetScaler Gateway, η CISA έλαβε τέσσερα αρχεία για ανάλυση που δείχνουν αρχεία που χρησιμοποιούνται για την αποθήκευση των κυψελών μητρώου, την απόθεση της μνήμης διαδικασίας της τοπικής αρχής ασφαλείας υποσυστήματος υπηρεσίας (LSASS) δίσκου και προσπαθεί να δημιουργήσει περιόδους σύνδεσης μέσω της Απομακρυσμένης Διαχείρισης των
Windows
(WinRM)», πρόσθεσε η CISA σε μια αναφορά ανάλυσης κακόβουλου λογισμικού που δημοσιεύτηκε επίσης σήμερα.
Σύμφωνα με ερευνητές ασφαλείας, πάνω από 10.000 διακομιστές Citrix που είχαν εκτεθεί στο Διαδίκτυο ήταν ευάλωτοι σε επιθέσεις Citrix Bleed πριν από μία εβδομάδα.
VIA:
bleepingcomputer.com