Veszélyes memóriahiba a támadók célkeresztjében
A súlyos memóriaolvasási hibát kihasználva a támadó hitelesítés nélkül szerezhet hozzáférést érzékeny rendszerterületekhez. A rés főként azokat a NetScaler eszközöket érinti, amelyeken Gateway vagy AAA virtuális szerver is működik, és amelyek az alábbi verzióknál régebbiek: 14.1-43.56, 13.1-58.32, 13.1-37.235-FIPS/NDcPP vagy 12.1-55.328-FIPS. A Citrix már kiadta a szükséges javításokat.
Kockázatos késlekedés
A problémára már hetekkel korábban figyelmeztetett több biztonsági kutató. Kevin Beaumont CitrixBleed 2-nek nevezte el a hibát a 2023-as, hírhedten kihasznált sérülékenységgel való hasonlósága miatt. Június 27-én jelentek meg az első aktív támadások, majd július 7-én két biztonsági cég (watchTowr és Horizon3) demonstrálta, hogyan lehet a hibát kihasználni felhasználói munkamenet-tokenek ellopására. Az elmúlt két hétben további exploitokat publikáltak hackerek fórumain, ami a támadások rohamos terjedésével fenyeget.
Kötelező frissítés, azonnali lépések
A támadások fényében a CISA minden felhasználónak javasolja a firmware frissítését legalább a 14.1-43.56, 13.1-58.32 vagy 13.1-FIPS/NDcPP 13.1-37.235 verzióra, valamint az összes aktív ICA és PCoIP munkamenet megszakítását a ‘kill icaconnection -all’ és ‘kill pcoipconnection -all’ parancsokkal, miután átnézték a jelenlegi kapcsolatokat gyanús aktivitás után kutatva. A karbantartás előtt a kapcsolatok listázásához a ‘show icaconnection’ parancs vagy a NetScaler Gateway felület használható. Azonnali frissítés hiányában legalább tűzfalszabályokkal kell korlátozni a NetScaler külső elérését.
Légy résen!
Bár a Citrix hivatalos tájékoztatója még nem módosult, a támadók aktivitása egyértelmű: ideje lépni, különben a CitrixBleed 2 a következő IT-katasztrófát hozhatja a fejedre.
