Empresas que no han postulado Correcciones de Citrix para sus sistemas NetScaler ADC y Gateway, en particular la corrección de la falla CVE-2023-4966, también conocida como Citrix Bleed, tienen algunas preocupaciones. Aprovechando su falta de capacidad de respuesta en su proceso de actualización, la banda cibernética Lockbit 3.0 está aumentando los ataques de ransomware, lo que resulta en numerosas víctimas. El último no es otro que Boeing, que pagó el precio hace unos diez días con el publicación de una muestra de sus datos. Desgraciadamente, la situación dista mucho de mejorar y alarma a muchos investigadores, proveedores y agencias de seguridad de todo el mundo. La falla de Citrix Bleed no es nueva y los ciberatacantes ciertamente han tenido mucho tiempo para perfeccionar sus operaciones maliciosas. Un informe de investigadores de seguridad de Mandiant (Google Cloud) indicado el pasado mes de octubre que CVE-2023-4966 ha sido explotado activamente desde agosto pasado.

en un boletín conjunto detalladoCISA (el equivalente de Anssi en los Estados Unidos), el FBI, así como el Centro de Intercambio y Análisis de Información Multiestatal (MS-ISAC) y el Centro Australiano de Detección de Amenazas de Ciberseguridad (ASD ACSC) han publicado técnicas, tácticas y procedimientos como así como indicadores de compromiso para este CVE-2023-4966 explotado por LockBit 3.0. Con graves riesgos para las víctimas: “Citrix Bleed, conocido por ser explotado por afiliados de LockBit 3.0, permite a los actores de amenazas eludir los requisitos de contraseña y autenticación multifactor (MFA) para secuestrar con éxito sesiones de usuarios legítimos en Citrix NetScaler Web Application Delivery Control (ADC) y Gateways”, dice el aviso. "Al tomar el control de las sesiones de usuarios legítimos, los actores maliciosos adquieren permisos elevados que les permiten recopilar credenciales y acceder a datos y recursos".

Eliminar sesiones activas o persistentes después de la actualización

Las empresas que no aplican los parches impulsados ​​por Citrix -que se ha incluido en un publicación de blog resumida principales medidas correctivas y alternativas que se deben tomar- se exponen a grandes riesgos. “Esta vulnerabilidad crítica fue descubierta por nuestro equipo interno. En el momento de la publicación del boletín de seguridad, no sabíamos que esta vulnerabilidad había sido explotada de forma natural y recomendamos que nuestros clientes actualicen a una versión actualizada publicada junto con el boletín lo antes posible. seguridad para resolver este problema crítico”, alertó Citrix. "Después de la actualización, le recomendamos que elimine cualquier sesión activa o persistente". Para hacer esto, el proveedor indica a las empresas que utilicen los siguientes comandos: kill aaa session -all; matar icaconnection -todos; eliminar la conexión rdp -todos; Elimine pcoipConnection -all y borre lb persistenteSessions.

En Estados Unidos, CISA informó a unas 300 empresas para que pudieran corregir la falla para proteger sus sistemas. En Francia, el CERT-FR, por su parte, confirmado Este 22 de noviembre se están llevando a cabo campañas masivas de explotación, particularmente para el despliegue de software. “El CERT-FR recuerda que cualquier equipo que no haya sido actualizado debe considerarse comprometido. Es imperativo llevar a cabo investigaciones sin demora, basándose en todas las recomendaciones proporcionadas en las distintas publicaciones”, advierte el centro de alerta y respuesta a incidentes.