Vergangene Woche hat Citrix über eine Schwachstelle in Netscaler informiert und Updates bereitgestellt. Die als kritisch eingestufte Lücke in Netscaler ADC/Gateway-Geräten ermöglicht es Angreifern unter bestimmten Umständen, vertrauliche Informationen zu stehlen.

Jetzt wurde allerdings bekannt, dass die Schwachstelle (CVE-2023-4966) bereits seit Ende August ausgenutzt wird. Zu den von Mandiant beobachteten Angriffszielen gehören Technologie- und Regierungsorganisationen.

Laut den Security-Forschern nutzen Akteure die Lücke aus, um bestehende authentifizierte Sitzungen zu kapern und die Multifaktor-Authentifizierung oder andere Authentifizierungsanforderungen zu umgehen. Je nach den in einer Session ergaunerten Berechtigungen könnten sie weitere Anmeldedaten stehlen, um sich im Netzwerk zu bewegen und Zugänge zu anderen Ressourcen zu erhalten.

Mandiant warnt zudem, dass Sessions auch nach der Installation des Updates bestehen bleiben. "Unternehmen müssen nicht nur den Patch aufspielen, sondern auch alle aktiven Sitzungen beenden", schreibt CTO Charles Carmakal auf Linkedin. Das Unternehmen hat online zusätzliche Informationen bereitgestellt, wie Unternehmen Abwehrmassnahmen umsetzen können (PDF).

Ende Juli warnte Citrix seine Kunden, dass eine weitere Schwachstelle in Netscaler ADC und Gateway unter der Bezeichnung CVE-2023-3519 in freier Wildbahn aktiv ausgenutzt wird. Diese Lücke werde in einer gross angelegten Kampagne ausgenutzt, um Anmeldeinformationen zu erbeuten, hiess es kürzlich von IBMs X-Force-Forschern.