# Citrix Bleed - Exploração em Massa - 2023 > [!abstract] Resumo > O [[cve-2023-4966|CVE-2023-4966]], apelidado "Citrix Bleed", permitia que atacantes não autenticados vazassem tokens de sessão válidos da memória do NetScaler ADC e Gateway, efetivamente bypassando autenticação multifator e sendo explorado em larga escala pelo [[lockbit]] e outros agentes de ameaça. **Data:** 10 de outubro de 2023 | **Categoria:** Zero-Day Exploitation --- ## O que aconteceu Em 10 de outubro de 2023, a Citrix divulgou o [[cve-2023-4966|CVE-2023-4966]] - uma vulnerabilidade de divulgação de informações sensíveis nos produtos NetScaler ADC (anteriormente Citrix ADC) e NetScaler Gateway (anteriormente Citrix Gateway). A falha, rapidamente apelidada de "Citrix Bleed" pela comunidade de segurança, apresenta CVSS 9.4 e permite que atacantes não autenticados vazem tokens de sessão ativos diretamente da memória do dispositivo. O mecanismo de exploração é particularmente perigoso: ao enviar requisições HTTP GET especialmente crafted para o endpoint de autenticação, o atacante força o dispositivo a retornar dados além dos limites do buffer - um erro clássico de buffer over-read. Os tokens de sessão vazados permitem ao atacante assumir sessões autenticadas existentes sem necessidade de credenciais, bypassando completamente autenticação multifator (MFA) e qualquer outro controle de acesso. Uma vez com um token válido, o atacante tem acesso idêntico ao de um usuário legítimo autenticado. A Mandiant identificou evidências de exploração ativa já desde agosto de 2023, semanas antes da divulgação pública. A CISA e o FBI emitiram alertas conjuntos em novembro de 2023 após confirmação de exploração em larga escala por múltiplos agentes de ameaça. O grupo [[lockbit]] se destacou como o principal operador de ransomware a weaponizar a vulnerabilidade, utilizando-a como vetor de acesso inicial em ataques contra hospitais australianos, agências governamentais americanas e instituições financeiras globais. A campanha [[lockbit-citrix-bleed-2023]] documentou como os afiliados do LockBit exploravam sistematicamente instâncias NetScaler expostas para obter acesso inicial, movimentar-se lateralmente e implantar ransomware. O Boeing foi uma das vítimas de alto perfil confirmadas neste período. --- ## Atores e Ferramentas - **Threat Actor:** [[lockbit]] (LockBit 3.0 / LockBit Black) - **Campanha:** [[lockbit-citrix-bleed-2023]] - **CVE explorado:** [[cve-2023-4966|CVE-2023-4966]] (Buffer Over-read, CVSS 9.4) - **Mecanismo:** Vazamento de tokens de sessão via buffer over-read no endpoint de autenticação - **Técnicas MITRE:** [[t1190-exploit-public-facing-application]], [[t1550-002-pass-the-hash|T1550-003-pass-the-token]], [[t1078-valid-accounts]], [[t1486-data-encrypted-for-impact|T1486]] --- ## Impacto O impacto foi global e multissetorial. Organizações de saúde - incluindo hospitais australianos - tiveram sistemas críticos comprometidos por ransomware LockBit, com operações interrompidas e dados de pacientes exfiltrados. Agências governamentais americanas foram afetadas, levando a CISA a emitir alertas de alta urgência e instruções específicas de detecção e remediação. A remediação foi complicada pelo fato de que simplesmente aplicar o patch não era suficiente: tokens de sessão vazados antes do patch permaneciam válidos e poderiam ser utilizados por atacantes que já os tinham coletado. A Citrix e a CISA recomendaram que, além da atualização, administradores inválidassem todas as sessões ativas e reiniciassem os dispositivos para limpar tokens em memória. A CISA adicionou o CVE-2023-4966 ao catálogo KEV e o FBI lançou indicadores de comprometimento (IoCs) para auxiliar organizações na detecção de explorações já ocorridas. O incidente reforçou preocupações sobre o uso de appliances de acesso remoto como vetor de entrada preferencial por grupos de ransomware. --- ## Notas Relacionadas - [[lockbit-citrix-bleed-2023]] - nota de campanha detalhada - [[lockbit]] - perfil do grupo de ameaça - [[cve-2023-4966|CVE-2023-4966]] - perfil da vulnerabilidade - [[t1190-exploit-public-facing-application]] - técnica de acesso inicial - [[t1550-002-pass-the-hash|T1550-003-pass-the-token]] - técnica de uso de tokens roubados