Citrix напомнила системным администраторам, что после установки обновления, исправляющего уязвимость CVE-2023-4966 (Citrix Bleed), им нужно также сбросить пользовательские сеансы NetScaler. Это связано с тем, что злоумышленники, эксплуатирующие Citrix Bleed, крадут токены аутентификации, что позволяет им получать доступ к скомпрометированным устройствам даже после установки исправления.
«Если вы используете какую-либо из затронутых сборок, перечисленных в бюллетене по безопасности, вам следует немедленно установить обновлённые версии. После обновления мы рекомендуем вам сбросить все активные или постоянные сеансы», — цитирует Citrix Bleeping Computer.
Сделать этом можно с помощью следующих команд:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
Ранее CISA и ФБР предупредили, что банда вымогателей LockBit использует уязвимость Citrix Bleed. Среди пострадавших оказалась, например, авиакомпания Boeing: LockBit взломала её сеть в октябре, похитив 43 ГБ данных. Компания отказалась выполнять требования вымогателей, и данные утекли в открытый доступ.
По данным исследователей безопасности, по состоянию на середину ноября более 10 тыс. серверов Citrix были уязвимы для атак с использованием Citrix Bleed.