CVE-2023-4966:导致Citrix NetScaler上信息泄露的漏洞的滥用

特别的是，这个内存中包含了会话令牌，所以攻击者可以伪装成其他的认证用户。。10月17日，Citrix更新了一份建议，表示已经确认恶意利用。。美国网络安全基础设施安全管理局(CISA)cve -2023 -4966Known Exploited Vulnerabilities (KEV)目录正在添加。。

2023年10月25日，安全公司Assetnote将展示窃取会话令牌的方法，包括概念验证(PoC)发表分析做了。。从那时起，阴影服务器对它的端点扫描的增加有。。rapid7mdr团队正在您的客户环境中调查该漏洞的滥用情况，但尚未发现CVE-2023-4966是第一个访问载体。。

Rapid7建议采取紧急措施来缓解CVE-2023-4966。包括勒索软件群组在内的威胁者，在历史上对Citrix NetScaler ADC的脆弱表现出了强烈的兴趣，可以预见恶意利用将会增加。。Rapid7的研究团队正在研究这个漏洞及其影响技术上并在AttackerKB上发布他们的评价。。

对象产品

Citrix在10月23日发表了关于滥用和缓解的详细报告公开博客都是死的。。その对建议根据，CVE-2023-4966将影响NetScaler ADC和NetScaler Gateway的以下所支持的版本:

* 14.1-8.50之前的NetScaler ADC和NetScaler Gateway 14.1

* NetScaler ADC和NetScaler Gateway 13.1 (13.1-49.15 以前)

* 13.0-92.19之前的NetScaler ADC和NetScaler Gateway 13.0

NetScaler ADC 13.1 - fips 13.1-37.164 以前

NetScaler ADC 12.1 - fips 12.1-55.300 以前

NetScaler ADC 12.1 - ndcpp 12.1-55.300 以前

注：NetScaler ADC和NetScaler Gateway版本12.第一，现在是EOL (End-of-Life)，有脆弱。。

如果你的设备被配置为网关(VPN虚拟服务器，ICA代理，CVPN, RDP代理)或者AAA虚拟服务器(非常常见的配置)，那么就可以被恶意利用。。Citrix表示，使用Citrix管理的云服务或Adaptive Authentication的客户无需采取措施。

缓和方针

Citrix NetScaler ADC和Gateway用户不要等待普通补丁周期，请立即更新到修复版本。进而，CVE-2023-4966citrix的在博客上，建议使用以下命令来强制终止所有的活动和持续会话:

kill icaconnection -all

kill rdp connection -all

kill pcoipConnection -all

kill aaa session -all

清洁lb persistentSessions

关于详情，Citrix提供建议请参考。

Rapid7的客户

insightvm和Nexpose的客户可以在10月23日的内容发布中使用已认证的脆弱检查，从而获得Citrix建议中两者的CVE (CVE-2023-4966, CVE-2023-4967)的曝光率。。

※本博客是英语版博客"CVE-2023-4966: Exploitation of Citrix NetScaler信息Disclosure Vulnerability"的机器翻译版。。关于最新信息，请参照原文。。