Citrix recomandă administratorilor să acorde atenție sesiunilor active sau persistente
Sursa: https://cybersecuritynews.com
După cum s-a raportat anterior, CVE-2023-4966 a fost descoperit și publicat de Citrix. Această vulnerabilitate a afectat dispozitivele Citrix NetScaler Gateway și ADC. În urma acestei dezvăluiri, a fost publicat un proof-of-concept pentru această vulnerabilitate numită CitrixBleed.
De curând, a fost raportat că grupul de ransomware LockBit țintește această vulnerabilitate pentru a viza ADC-urile Citrix vulnerabile.
Compania a publicat un aviz de securitate prin care își îndeamnă utilizatorii să remedieze această vulnerabilitate și să ruleze următoarele comenzi pentru a se asigura că nu există sesiuni malițioase active pe dispozitivele afectate:
- kill aaa session -all
- kill icaconnection -all
- kill rdp connection -all
- kill pcoipConnection -all
- clear lb persistentSessions
De asemenea, pentru efectuarea unor verificări suplimentare, compania recomandă să se urmeze următorii pași:
- verificarea sesiunilor ce par malițioase în instrumentele de monitorizare și vizibilitate din cadrul rețelei, în special în desktop-urile virtuale;
- examinarea log-urilor SSLVPN TCPCONNSTAT conțin adrese IP Client_ip și Sursă suspecte;
- eliminarea dump-urilor de nucleu, localizate în /var/core pentru a evita umplerea partiției.
Pentru utilizatorii NetScaler ADM, Citrix recomandă explorarea funcțiilor de securitate din ADM, cum ar fi Security Advisory, Upgrade Advisory și funcțiile de monitorizare a integrității fișierelor pentru a reduce timpul mediu de aplicare a actualizărilor.
Sursă: https://cybersecuritynews.com/citrix-warns-kill-active
