'CitrixBleed' knyttet til Ransomware-hit på Kinas statsejede bank

Det forstyrrende ransomware-angreb på verdens største bank i denne uge, Kinas Industrial and Commercial Bank of China (ICBC), kan være bundet til en kritisk sårbarhed, som Citrix afslørede i sin NetScaler-teknologi i sidste måned. Situationen fremhæver, hvorfor organisationer straks skal lappe mod truslen, hvis de ikke allerede har gjort det.

Den såkaldte "CitrixBleed" sårbarhed (CVE-2023-4966) påvirker flere lokale versioner af Citrix NetScaler ADC og NetScaler Gateway applikationsleveringsplatforme.

Sårbarheden har en alvorlighedsscore på 9.4 ud af maksimalt mulige 10 på CVSS 3.1-skalaen og giver angribere en måde at stjæle følsom information og kapre brugersessioner på. Citrix har beskrevet fejlen som eksternt udnyttelig og involverer lav angrebskompleksitet, ingen særlige privilegier og ingen brugerinteraktion.

Masse CitrixBleed-udnyttelse

Trusselaktører har aktivt udnyttet fejlen siden august - flere uger før Citrix udsendte opdaterede versioner af berørt software den 10. oktober. Forskere hos Mandiant, der opdagede og rapporterede fejlen til Citrix, har også kraftigt anbefalet, at organisationer afslutte alle aktive sessioner på hver berørt NetScaler-enhed på grund af muligheden for, at autentificerede sessioner fortsætter selv efter opdateringen.

Ransomware-angrebet på den amerikanske arm af det statsejede ICBC ser ud til at være en offentlig manifestation af udnyttelsesaktiviteten. I en erklæring tidligere på ugen afslørede banken, at den havde oplevet et ransomware-angreb den 8. november, der forstyrrede nogle af dens systemer. Det Financial Times og andre forretninger citerede kilder for at informere dem om LockBit ransomware-operatører som værende bag angrebet.

Sikkerhedsforsker Kevin Beaumont pegede på en ikke-patchet Citrix NetScaler hos ICBC boks den 6. november som en potentiel angrebsvektor for LockBit-skuespillerne.

"Da jeg skrev denne tude, har over 5,000 organisationer stadig ikke lappet #CitrixBleed" sagde Beaumont. "Det tillader fuldstændig, nem omgåelse af alle former for godkendelse og bliver udnyttet af ransomware-grupper. Det er så simpelt som at pege og klikke dig ind i organisationer – det giver angribere en fuldt interaktiv Remote Desktop PC [i] den anden ende."

Angreb på ubestridte NetScaler-enheder har antaget masseudnyttelse status de seneste uger. Offentligt tilgængelig tekniske detaljer af fejlen har givet næring til i det mindste noget af aktiviteten.

En rapport fra ReliaQuest indikerede i denne uge, at mindst fire organiserede trusselsgrupper er i øjeblikket rettet mod fejlen. En af grupperne har automatiseret udnyttelse af CitrixBleed. ReliaQuest rapporterede at observere "flere unikke kundehændelser med Citrix Bleed-udnyttelse" lige mellem 7. november og 9. november.

"ReliaQuest har identificeret flere tilfælde i kundemiljøer, hvor trusselsaktører har brugt Citrix Bleed-udnyttelsen," sagde ReliaQuest. "Efter at have fået den første adgang, opregnede modstanderne hurtigt miljøet med fokus på hastighed frem for stealth," bemærkede virksomheden. I nogle hændelser eksfiltrerede angriberne data, og i andre ser de ud til at have forsøgt at implementere ransomware, sagde ReliaQuest.

Seneste data fra internettrafikanalysefirmaet GreyNoise viser forsøg på at udnytte CitrixBleed fra mindst 51 unikke IP-adresser — ned fra omkring 70 i slutningen af ​​oktober.

CISA-udgavevejledning om CitrixBleed

Udnyttelsesaktiviteten har fået US Cybersecurity and Infrastructure Security Agency (CISA) til at udstede frisk vejledning og ressourcer i denne uge til at adressere CitrixBleed-truslen. CISA advarede om "aktiv, målrettet udnyttelse" af fejlen og opfordrede organisationer til at "opdatere ubetingede apparater til de opdaterede versioner", som Citrix udgav i sidste måned.

Selve sårbarheden er et bufferoverløbsproblem, der muliggør videregivelse af følsomme oplysninger. Det påvirker lokale versioner af NetScaler, når det er konfigureret som en godkendelse, autorisation og regnskab (AAA) eller som en gateway-enhed, såsom en virtuel VPN-server eller en ICA- eller RDP-proxy.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw