Citrix Bleed (CVE-2023-4966)
Qu'est-ce que Citrix Bleed (CVE-2023-4966) ?
Citrix Bleed (CVE-2023-4966)Fuite de memoire dans Citrix NetScaler ADC et Gateway qui revele des jetons de session, permettant a un attaquant de detourner des sessions authentifiees sans identifiants ni MFA.
Citrix Bleed, identifie CVE-2023-4966, est une vulnerabilite de divulgation d'information dans Citrix NetScaler ADC et NetScaler Gateway publiee en octobre 2023. En envoyant une requete HTTP forgee a l'appliance, un attaquant non authentifie peut lire de la memoire non initialisee et y extraire des jetons de session valides, y compris ceux delivres apres MFA. Rejouer un jeton vole confere a l'attaquant le meme acces que l'utilisateur legitime, contournant l'authentification forte. Cette faille a ete massivement exploitee par des groupes ransomware comme LockBit, frappant Boeing, ICBC et Toyota Financial Services. La correction impose le passage en 13.1-49.15 / 14.1-8.50 ou plus, et l'invalidation de toutes les sessions actives.
● Exemples
- 01
Des attaquants volent des jetons de session sur un NetScaler Gateway expose et se connectent comme utilisateurs VPN sans MFA.
- 02
Apres correction, l'organisation termine toutes les sessions ICA et PCoIP actives pour invalider les jetons voles.
● Questions fréquentes
Qu'est-ce que Citrix Bleed (CVE-2023-4966) ?
Fuite de memoire dans Citrix NetScaler ADC et Gateway qui revele des jetons de session, permettant a un attaquant de detourner des sessions authentifiees sans identifiants ni MFA. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Citrix Bleed (CVE-2023-4966) ?
Fuite de memoire dans Citrix NetScaler ADC et Gateway qui revele des jetons de session, permettant a un attaquant de detourner des sessions authentifiees sans identifiants ni MFA.
Comment fonctionne Citrix Bleed (CVE-2023-4966) ?
Citrix Bleed, identifie CVE-2023-4966, est une vulnerabilite de divulgation d'information dans Citrix NetScaler ADC et NetScaler Gateway publiee en octobre 2023. En envoyant une requete HTTP forgee a l'appliance, un attaquant non authentifie peut lire de la memoire non initialisee et y extraire des jetons de session valides, y compris ceux delivres apres MFA. Rejouer un jeton vole confere a l'attaquant le meme acces que l'utilisateur legitime, contournant l'authentification forte. Cette faille a ete massivement exploitee par des groupes ransomware comme LockBit, frappant Boeing, ICBC et Toyota Financial Services. La correction impose le passage en 13.1-49.15 / 14.1-8.50 ou plus, et l'invalidation de toutes les sessions actives.
Comment se défendre contre Citrix Bleed (CVE-2023-4966) ?
Les défenses contre Citrix Bleed (CVE-2023-4966) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Citrix Bleed (CVE-2023-4966) ?
Noms alternatifs courants : CVE-2023-4966, Fuite de session NetScaler.
● Termes liés
- attacks№ 1016
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
- malware№ 900
Rançongiciel
Logiciel malveillant qui chiffre les données de la victime ou verrouille ses systèmes et exige une rançon pour rétablir l'accès.