Citrix Bleed (CVE-2023-4966)
¿Qué es Citrix Bleed (CVE-2023-4966)?
Citrix Bleed (CVE-2023-4966)Fallo de divulgacion de memoria en Citrix NetScaler ADC y Gateway que filtra tokens de sesion y permite a un atacante secuestrar sesiones autenticadas sin credenciales ni MFA.
Citrix Bleed, registrada como CVE-2023-4966, es una vulnerabilidad de divulgacion de informacion en Citrix NetScaler ADC y NetScaler Gateway divulgada en octubre de 2023. Mediante una solicitud HTTP manipulada al dispositivo, un atacante sin autenticar puede leer memoria no inicializada y extraer tokens de sesion validos, incluso emitidos tras MFA. Reproducir un token robado concede al atacante el mismo acceso que el usuario legitimo, eludiendo la autenticacion fuerte. La falla fue explotada masivamente por grupos de ransomware como LockBit, afectando a Boeing, ICBC y Toyota Financial Services. La solucion exige actualizar a 13.1-49.15 / 14.1-8.50 o superior e invalidar todas las sesiones activas.
● Ejemplos
- 01
Actores roban tokens de sesion de un NetScaler Gateway expuesto y se conectan como usuarios VPN saltandose el MFA.
- 02
Tras parchear, la organizacion termina todas las sesiones ICA y PCoIP activas para invalidar tokens robados.
● Preguntas frecuentes
¿Qué es Citrix Bleed (CVE-2023-4966)?
Fallo de divulgacion de memoria en Citrix NetScaler ADC y Gateway que filtra tokens de sesion y permite a un atacante secuestrar sesiones autenticadas sin credenciales ni MFA. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Citrix Bleed (CVE-2023-4966)?
Fallo de divulgacion de memoria en Citrix NetScaler ADC y Gateway que filtra tokens de sesion y permite a un atacante secuestrar sesiones autenticadas sin credenciales ni MFA.
¿Cómo funciona Citrix Bleed (CVE-2023-4966)?
Citrix Bleed, registrada como CVE-2023-4966, es una vulnerabilidad de divulgacion de informacion en Citrix NetScaler ADC y NetScaler Gateway divulgada en octubre de 2023. Mediante una solicitud HTTP manipulada al dispositivo, un atacante sin autenticar puede leer memoria no inicializada y extraer tokens de sesion validos, incluso emitidos tras MFA. Reproducir un token robado concede al atacante el mismo acceso que el usuario legitimo, eludiendo la autenticacion fuerte. La falla fue explotada masivamente por grupos de ransomware como LockBit, afectando a Boeing, ICBC y Toyota Financial Services. La solucion exige actualizar a 13.1-49.15 / 14.1-8.50 o superior e invalidar todas las sesiones activas.
¿Cómo defenderse de Citrix Bleed (CVE-2023-4966)?
Las defensas contra Citrix Bleed (CVE-2023-4966) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Citrix Bleed (CVE-2023-4966)?
Nombres alternativos comunes: CVE-2023-4966, Fuga de sesion NetScaler.
● Términos relacionados
- attacks№ 1016
Secuestro de sesión
Ataque que toma el control de la sesión autenticada de una víctima robando o falsificando su identificador de sesión, para actuar como el usuario sin sus credenciales.
- malware№ 900
Ransomware
Malware que cifra los datos de la víctima o bloquea sus sistemas y exige un pago a cambio de restaurar el acceso.