沒有及時修補Citrix Bleed漏洞，Comcast外洩近3,600萬名Xfinity用戶資訊

美國Comcast Corporation旗下專門提供有線電視、網路、電話及無線服務的Comcast Cable Communications（Xfinity）在周一（12/18）坦承，該公司在修補Citrix Bleed漏洞的空窗期間遭到駭客入侵，外洩了用戶資料，根據該公司提交給緬因州的文件，受影響的用戶數高達35,879,455人。

美國雲端運算及虛擬技術服務供應商Citrix Systems在今年的10月10日修補了一個重大安全漏洞CVE-2023-4966，成功的攻擊將會導致未經授權的資料揭露，影響網頁應用交付控制器NetScaler ADC及NetScaler Gateway裝置，此一漏洞是由Citrix內部團隊所發現，修補當時並不知道該漏洞已遭到濫用。

然而，資安業者Mandiant在10月17日指出，駭客自8月下旬便開始利用該漏洞，成功的攻擊將允許駭客取得會話身分驗證令牌，挾持使用者的會話，從而繞過多因素身分驗證或其它驗證要求，倘若在修補前便被攻陷，那麼就算已部署更新程式，已被利用的會話可能會持續存在，由於影響重大，因而又被稱為Citrix Bleed漏洞。

Xfinity透過新聞稿表示，CVE-2023-4966漏洞波及包括該公司在內的全球數千家業者，該公司於10月23日部署了更新程式，但在兩天後執行例行性的資安檢查時，發現內部系統在10月16日至19日之間出現未經授權的存取，且確定源自CVE-2023-4966。

目前確定駭客已存取了Xfinity用戶的使用者名稱與雜湊密碼，以及部分用戶的姓名、聯絡資訊、社會安全碼的後4碼、生日，或秘密問題與答案。

Xfinity於新聞稿中並未公布受影響的用戶數量，而是在提交給緬因州的資料外洩通知中揭露，顯示有接近3,600萬名用戶的資料外洩。

Xfinity的資料外洩事件顯然是因沒有及時修補所造成，既未於10月10日的第一時間修補，也沒有在Mandiant公布該漏洞已遭到駭客利用的10月17日修補，而是延至10月23日才修補。

現在Xfinity除了要求用戶重設密碼，並建議他們啟用雙因素身分驗證之外，也建議用戶更改那些使用同樣密碼的其它服務的憑證。