Af Eskil Sørensen, 24/10/23
Citrix har advaret om at sikre alle NetScaler ADC- og Gateway-enheder ’øjeblikkeligt’ mod igangværende angreb.
Det skriver Bleeping Computer.
Der er tale om en sårbarhed med id’et CVE-2023-4966 og en CVSS-score på 9,4, der blev kendt for offentligheden for to uger siden i forbindelse med Citrix’ udsendelse af et patch. Sårbarheden er særlig kritisk, da den kan føre remote code execution med sig i angreb, der ikke kræver brugerinteraktion.
Da sårbarheden blev kendt, var der ikke kendskab til udnyttelser, men det er der nu, hvor også CISA har tilføjet CVE-2023-4966 til sit katalog over kendte udnyttelser med deadline for håndtering senest den 8. november.
Cybersikkerhedsfirmaet Mandiant har dog peget på, at trusselsaktører har brugt sårbarheden siden slutningen af august 2023 til at stjæle autentificeringssessioner og kapre konti. Det har kunnet hjælpe angriberne med at omgå bl.a. multifaktorautentificering.
Mandiant advarer ifølge Bleeping Computer om, at kompromitterede sessioner fortsætter selv efter patchning, og at angribere kan bevæge sig sideværts på tværs af netværket eller kompromittere andre konti, dog afhængigt af de rettigheder, som kompromitterede konti har.
Links:
https://www.bleepingcomputer.com/news/security/citrix-warns-admins-to-pa...
https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-upda...
https://cert.dk/da/news/2023-10-11/Kritisk-saarbarhed-i-Citrix-Netscaler