# Citrix NetScaler ADC > Gateway / Application Delivery · Vendor: [[_citrix|Citrix]] ## Visão Geral **Citrix NetScaler ADC** (Application Delivery Controller) é uma das soluções de entrega de aplicações e balanceamento de carga mais utilizadas em ambientes empresariais. Quando configurado como gateway, o NetScaler ADC provê acesso remoto seguro e funcionalidade de VPN SSL - tornando-o um componente crítico de infraestrutura. Em outubro de 2023, foi divulgada a [[cve-2023-4966|CVE-2023-4966]], apelidada de **"Citrix Bleed"**, uma vulnerabilidade de buffer over-read que permitia roubo de tokens de sessão válidos, efetivamente contornando autenticação multifator e controles de acesso. **Dados do produto:** - Categoria: Gateway / Application Delivery Controller - Vendor: [[_citrix|Citrix]] - Versão atual: - - Presença no Brasil/LATAM: Alta - amplamente adotado em grandes empresas, bancos e órgãos governamentais brasileiros ## Vulnerabilidades Conhecidas <!-- Static table for Obsidian Publish (updated by pipeline) --> | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2023-4966\|CVE-2023-4966]] | 9.4 | Buffer over-read - roubo de token de sessão, bypass de MFA | Sim | 2023-10 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Citrix NetScaler ADC") SORT patch-daté DESC ``` %% ## Uso por Atores de Ameaça A [[cve-2023-4966|CVE-2023-4966]] ("Citrix Bleed") foi amplamente explorada por grupos de ransomware após a divulgação pública do exploit. O [[lockbit|LockBit]] e o [[s1220-medusa|Medusa]] utilizaram a vulnerabilidade para obter acesso inicial a redes corporativas, roubando tokens de sessão de usuários autenticados - incluindo sessões protegidas por MFA - sem necessidade de credenciais válidas. A campanha [[lockbit-citrix-bleed-2023]] documentou uma onda massiva de explorações em outubro e novembro de 2023, afetando organizações em múltiplos setores globalmente. No Brasil, o impacto foi significativo dado o alto percentual de adoção do NetScaler ADC no setor financeiro e de serviços. > [!danger] Impacto do Citrix Bleed > A capacidade de bypassar MFA fez da CVE-2023-4966 uma das vulnerabilidades mais perigosas de 2023. Tokens de sessão roubados permaneciam válidos mesmo após a aplicação do patch, exigindo inválidação manual de todas as sessões ativas. > [!latam] Relevância para Brasil e LATAM > O Citrix NetScaler ADC tem alta adoção no Brasil - especialmente em bancos, seguradoras e órgãos governamentais que utilizam a solução para entrega de aplicações e VPN corporativa. A CVE-2023-4966 (Citrix Bleed) foi amplamente explorada por grupos de ransomware, incluindo em organizações com operações no Brasil. O bypass de MFA via roubo de tokens de sessão é particularmente grave para ambientes financeiros brasileiros sujeitos à regulação BACEN 4.893. Tokens de sessão roubados devem ser inválidados manualmente mesmo após a aplicação do patch. ## Notas Relacionadas **Vendor:** [[_citrix|Citrix]] **CVEs:** [[cve-2023-4966|CVE-2023-4966]] **Campanhas:** [[lockbit-citrix-bleed-2023]] **Atores:** [[lockbit|LockBit]] · [[s1220-medusa|Medusa]] **Produtos relacionados:** [[netscaler-gateway]] · [[citrix-workspace]] · [[citrix-virtual-apps]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] · [[t1539-steal-web-session-cookie|T1550.004 - Use Alternaté Authentication Material: Web Session Cookie]] · [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] **Setores:** [[financial]] · [[healthcare|saúde]] · [[government]] · [[technology]]