Citrix a rappelé aujourd’hui aux administrateurs qu’ils doivent prendre des mesures supplémentaires après avoir corrigé leurs appliances NetScaler contre la vulnérabilité CVE-2023-4966 « Citrix Bleed » afin de sécuriser les appareils vulnérables contre les attaques.
En plus d’appliquer les mises à jour de sécurité nécessaires, il leur est également conseillé d’effacer toutes les sessions utilisateur précédentes et de mettre fin à toutes les sessions actives.
Il s’agit d’une étape cruciale, étant donné que les attaquants à l’origine de l’exploitation continue de Citrix Bleed ont volé des jetons d’authentification, leur permettant d’accéder aux appareils compromis même après qu’ils ont été corrigés.
Citrix a corrigé la faille début octobre, mais Mandiant a révélé qu’elle était activement exploitée en tant que zero-day depuis au moins fin août 2023.
Mandiant a également averti que les sessions NetScaler compromises persistent après l’application des correctifs, permettant aux attaquants de se déplacer latéralement sur le réseau ou de compromettre d’autres comptes en fonction des autorisations des comptes compromis.
« Si vous utilisez l’une des versions concernées répertoriées dans le bulletin de sécurité, vous devez effectuer la mise à niveau immédiatement en installant les versions mises à jour. Après la mise à niveau, nous vous recommandons de supprimer toutes les sessions actives ou persistantes », a déclaré Citrix aujourd’hui.
C’est la deuxième fois que la société avertit ses clients de supprimer toutes les sessions actives et persistantes à l’aide des commandes suivantes :
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessionsExploité dans les attaques du ransomware LockBit
Aujourd’hui, la CISA et le FBI ont averti que le gang du ransomware LockBit exploitait la faille de sécurité Citrix Bleed dans un avis conjoint avec le Multi-State Information Sharing & Analysis Center (MS-ISAC) et l’Australian Cyber Security Center (ACSC).
Les agences ont également partagé des indicateurs de compromission et des méthodes de détection pour aider les défenseurs à contrecarrer les attaques du groupe de ransomwares.
Boeing a également partagé des informations sur la façon dont LockBit a violé son réseau en octobre à l’aide d’un exploit Citrix Bleed, ce qui a entraîné la fuite de 43 Go de données volées sur les systèmes de Boeing sur le dark web après que l’entreprise a refusé de céder aux demandes du gang de ransomwares.
« Boeing a observé des filiales de LockBit 3.0 exploiter le CVE-2023-4966 pour obtenir un accès initial à Boeing Distribution Inc., son activité de pièces détachées et de distribution qui maintient un environnement séparé. D’autres tiers de confiance ont observé une activité similaire ayant un impact sur leur organisation », indique le rapport consultatif conjoint. prévient.
« En réponse au CVE-2023-4966 récemment divulgué, affectant les appliances Citrix NetScaler ADC et NetScaler Gateway, CISA a reçu quatre fichiers pour analyse qui montrent les fichiers utilisés pour enregistrer les ruches de registre, vider la mémoire du processus LSASS (Local Security Authority Subsystem Service) vers disque et tente d’établir des sessions via Windows Remote Management (WinRM) », a ajouté CISA dans un rapport Malware Analysis également publié aujourd’hui.
Selon les chercheurs en sécurité, plus de 10 000 serveurs Citrix exposés à Internet étaient vulnérables aux attaques Citrix Bleed il y a une semaine.