"CitrixBleed" مرتبط ببرنامج الفدية الذي أصاب البنك المملوك للدولة في الصين

التخريبي هجوم فدية على أكبر بنك في العالم هذا الأسبوعقد يكون البنك الصناعي والتجاري الصيني (ICBC) التابع لجمهورية الصين الشعبية، مرتبطًا بثغرة أمنية حرجة كشفت شركة سيتريكس في تكنولوجيا NetScaler الشهر الماضي. يسلط الموقف الضوء على سبب حاجة المؤسسات إلى التصحيح الفوري للتهديد إذا لم تكن قد فعلت ذلك بالفعل.

ما يسمى بالثغرة الأمنية "CitrixBleed" (CVE-2023-4966) يؤثر على الإصدارات المحلية المتعددة لمنصات تسليم التطبيقات Citrix NetScaler ADC وNetScaler Gateway.

تبلغ درجة خطورة الثغرة الأمنية 9.4 من الحد الأقصى 10 على مقياس CVSS 3.1، وتمنح المهاجمين طريقة لسرقة المعلومات الحساسة واختطاف جلسات المستخدم. وصفت Citrix الخلل بأنه قابل للاستغلال عن بعد وينطوي على تعقيد هجوم منخفض، ولا توجد امتيازات خاصة، ولا يوجد تفاعل من قبل المستخدم.

الاستغلال الشامل لـ CitrixBleed

كانت الجهات الفاعلة في مجال التهديد تستغل الخلل بنشاط منذ أغسطس - قبل عدة أسابيع من إصدار Citrix لإصدارات محدثة من البرامج المتأثرة في 10 أكتوبر. كما أوصى الباحثون في Mandiant، الذين اكتشفوا الخلل وأبلغوا Citrix به، بشدة بأن تقوم المؤسسات إنهاء كافة الجلسات النشطة على كل جهاز NetScaler متأثر نظرًا لاحتمال استمرار جلسات المصادقة حتى بعد التحديث.

يبدو أن هجوم برامج الفدية على الذراع الأمريكية لبنك ICBC المملوك للدولة هو أحد المظاهر العامة لنشاط الاستغلال. في بيان وفي وقت سابق من هذا الأسبوع، كشف البنك أنه تعرض لهجوم فدية في 8 نوفمبر أدى إلى تعطيل بعض أنظمته. ال فاينانشال تايمز ونقلت وسائل إعلام أخرى عن مصادر أبلغتها بأن مشغلي برنامج الفدية LockBit يقفون وراء الهجوم.

باحث أمن أشار كيفن بومونت إلى Citrix NetScaler غير المصحح في ICBC المربع في 6 نوفمبر كأحد ناقلات الهجوم المحتملة لممثلي LockBit.

"حتى وقت كتابة هذه الرسالة، لا تزال هناك أكثر من 5,000 مؤسسة لم يتم تصحيحها #سيتريكسبليدقال بومونت. "إنه يسمح بالتجاوز الكامل والسهل لجميع أشكال المصادقة ويتم استغلاله من قبل مجموعات برامج الفدية. إنه أمر بسيط مثل الإشارة والنقر داخل المؤسسات - فهو يمنح المهاجمين جهاز كمبيوتر سطح مكتب بعيد تفاعلي بالكامل [على] الطرف الآخر.

من المفترض حدوث هجمات على أجهزة NetScaler كاملة الاستغلال الجماعي الوضع في الأسابيع الأخيرة. متاح للعامة التفاصيل التقنية وقد أدى الخلل إلى تغذية بعض النشاط على الأقل.

تقرير من أشارت ReliaQuest هذا الأسبوع إلى وجود أربع مجموعات تهديد منظمة على الأقل تستهدف حاليا الخلل. قامت إحدى المجموعات بالاستغلال الآلي لـ CitrixBleed. أبلغت ReliaQuest عن ملاحظة "حوادث العملاء الفريدة المتعددة التي تتميز باستغلال Citrix Bleed" في الفترة ما بين 7 و9 نوفمبر فقط.

وقالت ReliaQuest: "لقد حددت ReliaQuest حالات متعددة في بيئات العملاء حيث استخدمت الجهات الفاعلة في مجال التهديد ثغرة Citrix Bleed". وأشارت الشركة إلى أنه "بعد حصولهم على وصول أولي، قام الخصوم بسرعة بتعداد البيئة، مع التركيز على السرعة بدلاً من التخفي". وقالت شركة ReliaQuest إنه في بعض الحوادث، قام المهاجمون بتسريب البيانات، وفي حالات أخرى يبدو أنهم حاولوا نشر برامج الفدية.

تُظهر أحدث البيانات الصادرة عن شركة GreyNoise لتحليل حركة المرور على الإنترنت محاولات لاستغلال CitrixBleed من على الأقل 51 عنوان IP فريد – انخفاضًا من حوالي 70 في أواخر أكتوبر.

تصدر CISA إرشادات بشأن CitrixBleed

وقد دفع نشاط الاستغلال وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إصداره توجيهات جديدة والموارد هذا الأسبوع حول معالجة تهديد CitrixBleed. وحذرت CISA من "الاستغلال النشط والمستهدف" للخلل في حث المؤسسات على "تحديث الأجهزة الكاملة إلى الإصدارات المحدثة" التي أصدرتها Citrix الشهر الماضي.

تعتبر مشكلة عدم الحصانة بحد ذاتها مشكلة تجاوز سعة المخزن المؤقت التي تتيح الكشف عن المعلومات الحساسة. فهو يؤثر على الإصدارات المحلية من NetScaler عند تكوينها كمصادقة وتخويل ومحاسبة (AAA) أو كجهاز بوابة مثل خادم VPN الظاهري أو وكيل ICA أو RDP.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw