CVE-2023-4966 — CVSS: 9.4 (Kritik)

Citrix Bleed — Citrix NetScaler'dan kimlik doğrulama oturumunu çalma imkânı sağlayan arabellek taşması.

Zafiyet Detayları

CVE KimliğiCVE-2023-4966
CVSS Puanı9.4 / 10.0 — Kritik
Yayın Yılı2023
Saldırı VektörüNETWORK
Etkilenen SistemlerCitrix NetScaler ADC/Gateway

Bu Zafiyeti Kullanan Malware Familialeri

  • LockBit
  • RansomHub
  • Hunters

Toplam 3 malware ailesi bu güvenlik açığından yararlanmaktadır.

Zafiyet Açıklaması

Citrix Bleed — Citrix NetScaler'dan kimlik doğrulama oturumunu çalma imkânı sağlayan arabellek taşması.

Yama ve Azaltma Önerileri

  1. Confianzalik güncellemesini derhal uygulayın — NVD: CVE-2023-4966
  2. Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
  3. IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
  4. Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
  5. Yedeklerinizi doğrulayın ve güncel tutun
  6. Etkilenen sistemlerde tehdit avcılığı yapın

MITRE ATT&CK Haritalama

Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.

LockBit — Perfil del malware

LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.

Tipo de malware
Ransomware
Lenguaje de programación
C++
Protocolo C2
Sistemas objetivo
Windows/Linux
También conocido como (AKA)
LockBit 3.0

Detalles técnicos

C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

Capacidades y comportamiento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Servidores C2 (2 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
35.227.107.189 ip 443 HTTPS sinkholed US
89.185.85.239 ip 443 HTTPS sinkholed NL

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
cvegüvenlik-açığıcriticallockbitransomhubhunters