# Citrix (Cloud Software Group) > Infrastructure vendor · Sede: Fort Lauderdale, EUA · Presença LATAM: Sim ## Visão Geral **Citrix**, agora parte do **Cloud Software Group** (junto com TIBCO e NetScaler), é uma empresa de software de infraestrutura que fornece soluções de virtualização, balanceamento de carga e acesso remoto seguro. A empresa atende mais de 100 milhões de usuários globalmente. Em 2024, a Citrix firmou uma parceria estratégica de oito anos com a Microsoft para fortalecer soluções em nuvem e inteligência artificial generativa. **Dados do vendor:** - Tipo: Infrastructure provider - virtualização, balanceamento de carga, acesso remoto - Sede: Fort Lauderdale, Flórida, EUA (Cloud Software Group) - Website: https://www.citrix.com - Presença no Brasil/LATAM: Sim - operações na América Latina com foco em contas estratégicas e setores regulados - Principais setores atendidos: [[financial]], [[government]], [[healthcare|saúde]], [[technology]] ## Produtos <!-- Static table for Obsidian Publish --> | Produto | Categoria | CVEs | Relevância CTI | |---------|-----------|------|---------------| | [[netscaler-adc\|NetScaler ADC]] | gateway | 1 | [[cve-2023-4966\|CVE-2023-4966]] - "Citrix Bleed", roubo de tokens | | [[netscaler-gateway\|NetScaler Gateway]] | vpn | 1 | Afetado pela [[cve-2023-4966\|CVE-2023-4966]] | | [[citrix-workspace\|Citrix Workspace]] | cloud | 0 | Não afetado pelas CVEs catalogadas | | [[citrix-virtual-apps\|Citrix Virtual Apps]] | cloud | 0 | Dependente do NetScaler | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Produto", product-category AS "Categoria", length(cves-affecting) AS "CVEs" FROM "vendors/citrix" WHERE type = "product" SORT length(cves-affecting) DESC ``` %% ## Timeline de Vulnerabilidades <!-- Static table for Obsidian Publish --> | CVE | CVSS | Produto | Exploração | Data | |-----|------|---------|------------|------| | [[cve-2023-4966\|CVE-2023-4966]] | 9.4 | [[netscaler-adc\|NetScaler ADC]] | Ativa - zero-day desde ago/2023, ransomware | 2023-10-10 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", product AS "Produto", exploit-type AS "Exploração" FROM "vulnerabilities" WHERE contains(vendor, "Citrix") SORT patch-date DESC ``` %% A [[cve-2023-4966|CVE-2023-4966]], conhecida como "Citrix Bleed", é uma vulnerabilidade de buffer over-read que permite extração de tokens de sessão da memória do NetScaler. O aspecto mais crítico é o bypass completo de MFA - o sequestro de sessão ocorre após a autenticação multifator, tornando o MFA ineficaz. Grupos de ransomware como [[lockbit|LockBit]] e [[s1220-medusa|Medusa]] adotaram rapidamente esta exploração como vetor de acesso inicial. A exploração zero-day foi identificada pela [[_intel/sources|Mandiant]] desde agosto de 2023. ## Uso por Atores de Ameaça Produtos Citrix são alvejados especialmente por operadores de ransomware: - [[lockbit|LockBit]] - adotou "Citrix Bleed" como vetor principal de acesso inicial, distribuindo scripts Python para afiliados automatizarem a exploração na [[lockbit-citrix-bleed-2023]] - [[s1220-medusa|Medusa]] - grupo de ransomware que explorou [[cve-2023-4966|CVE-2023-4966]] para acesso inicial a redes corporativas Técnicas associadas: [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] e [[t1563-remote-service-session-hijacking|T1563 - Remote Service Session Hijacking]]. ## Presença LATAM/Brasil A Citrix mantém operações na América Latina com estrategias de marketing baseadas em contas (ABM) e eventos direcionados para clientes estratégicos. Os setores [[financial]] e de seguros continuam sendo os maiores adotantes de soluções Citrix na região, impulsionados por necessidades complexas de TI e requisitos regulatórios. O NetScaler é amplamente utilizado em bancos brasileiros e órgãos governamentais para balanceamento de carga, públicação de aplicações e acesso remoto VPN de funcionários. **Setores com maior adoção no Brasil:** - [[financial]] - bancos e seguradoras utilizam NetScaler para operações bancárias críticas e transações - [[government]] - órgãos com necessidades de virtualização de desktops e acesso remoto seguro - [[healthcare|saúde]] - hospitais e sistemas de saúde com públicação de aplicações clínicas **Risco LATAM:** A exploração de "Citrix Bleed" por grupos de ransomware como [[lockbit|LockBit]] - que tem histórico significativo de ataques na América Latina - torna esta vulnerabilidade particularmente relevante para o Brasil. O bypass de MFA via sequestro de sessão representa uma ameaça persistente, pois tokens roubados antes da aplicação do patch podem continuar válidos se as sessões não forem inválidadas. ## Advisories e Recursos - [Citrix Security Advisories](https://www.citrix.com/blogs/category/security/) - [NetScaler Security Bulletins](https://www.netscaler.com/blog/tag/security-bulletin/) - [CISA - Citrix Bleed Guidance](https://www.cisa.gov/guidance-addressing-citrix-netscaler-adc-and-gateway-vulnerability-CVE-2023-4966-citrix-bleed) ## Notas Relacionadas **CVEs:** [[cve-2023-4966|CVE-2023-4966]] · [[cve-2023-3519|CVE-2023-3519]] · [[cve-2023-3467|CVE-2023-3467]] **Campanhas:** [[lockbit-citrix-bleed-2023]] **Atores:** [[lockbit|LockBit]] · [[s1220-medusa|Medusa]] **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] · [[t1563-remote-service-session-hijacking|T1563 - Remote Service Session Hijacking]]