# Citrix NetScaler Gateway > VPN / Remote Access · Vendor: [[_citrix|Citrix]] ## Visão Geral **Citrix NetScaler Gateway** é a funcionalidade de acesso remoto seguro do [[netscaler-adc]], ativada quando o appliance é configurado no modo Gateway. Nessa configuração, o NetScaler atua como concentrador VPN SSL, proxy de aplicações e portal de acesso para usuários remotos acessando recursos internos - incluindo sessões virtuais do [[citrix-virtual-apps]]. A [[cve-2023-4966|CVE-2023-4966]] afeta específicamente dispositivos NetScaler ADC e Gateway configurados como gateway SSL-VPN ou proxy de autenticação AAA. **Dados do produto:** - Categoria: VPN / Acesso Remoto - Vendor: [[_citrix|Citrix]] - Versão atual: - - Presença no Brasil/LATAM: Alta - componente central em implantações Citrix corporativas no Brasil ## Vulnerabilidades Conhecidas <!-- Static table for Obsidian Publish (updated by pipeline) --> | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2023-4966\|CVE-2023-4966]] | 9.4 | Buffer over-read - roubo de token de sessão quando configurado como Gateway | Sim | 2023-10 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Citrix NetScaler Gateway") SORT patch-daté DESC ``` %% ## Uso por Atores de Ameaça O [[lockbit|LockBit]] e o [[s1220-medusa|Medusa]] exploraram o NetScaler Gateway como porta de entrada para redes corporativas durante a [[lockbit-citrix-bleed-2023]]. A configuração de gateway é exatamente o modo necessário para que a [[cve-2023-4966|CVE-2023-4966]] sejá explorável: dispositivos NetScaler ADC configurados apenas para balanceamento de carga (sem função de gateway) não estavam vulneráveis, o que tornou o escopo de impacto mais preciso - mas ainda enormemente abrangente, dado que a configuração de gateway é extremamente comum. O roubo de tokens de sessão via Citrix Bleed permitia aos atacantes assumir sessões de usuários válidos sem acionar alertas de autenticação, tornando a detecção inicial particularmente difícil para equipes de SOC. > [!latam] Relevância para Brasil e LATAM > O Citrix NetScaler Gateway é componente central em implantações Citrix corporativas no Brasil, especialmente em ambientes que dependem de acesso remoto VPN SSL para workforce distribuída. Em organizações brasileiras com trabalho híbrido, o Gateway é frequentemente o principal ponto de acesso remoto corporativo. A exploração da CVE-2023-4966 nesse modo de operação permite acesso completo à rede interna sem autenticação - um risco crítico para organizações que não aplicaram o patch e não invalídaram sessões ativas após a correção. ## Notas Relacionadas **Vendor:** [[_citrix|Citrix]] **CVEs:** [[cve-2023-4966|CVE-2023-4966]] **Campanhas:** [[lockbit-citrix-bleed-2023]] **Atores:** [[lockbit|LockBit]] · [[s1220-medusa|Medusa]] **Produtos relacionados:** [[netscaler-adc]] · [[citrix-workspace]] · [[citrix-virtual-apps]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] · [[t1539-steal-web-session-cookie|T1550.004 - Use Alternaté Authentication Material: Web Session Cookie]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] **Setores:** [[financial]] · [[healthcare|saúde]] · [[government]] · [[technology]]