Vários atores de ameaças, incluindo afiliados do ransomware LockBit, estão explorando ativamente uma falha de segurança crítica recentemente divulgada em dispositivos Citrix NetScaler Application Delivery Control (ADC) e Gateway para obter acesso inicial a ambientes-alvo.

A agência de segurança cibernética dos EUA (CISA), o FBI, emitiram um aviso conjunto sobre a exploração dessa vulnerabilidade. Conhecida como “Citrix Bleed” e explorada por afiliados do LockBit 3.0, essa falha permite que os atores de ameaças ignorem requisitos de senha e autenticação multifator (MFA), levando à captura bem-sucedida de sessões de usuários legítimos em dispositivos Citrix NetScaler ADC e Gateway.

Através da captura de sessões legítimas, os atores maliciosos adquirem permissões elevadas para colher credenciais, mover-se lateralmente e acessar dados e recursos.

Rastreada como CVE-2023-4966 (pontuação CVSS: 9.4), a vulnerabilidade foi corrigida pela Citrix no mês passado, mas não antes de ser armada como um zero day pelo menos desde agosto de 2023.

Ela foi apelidada de Citrix Bleed. O mais recente ator de ameaça a se juntar à exploração é o LockBit, que foi observado aproveitando a falha para executar scripts PowerShell, além de instalar ferramentas de gerenciamento e monitoramento remoto, como AnyDesk e Splashtop, para atividades subsequentes.