„CitrixBleed“ wird mit Ransomware-Angriff auf Chinas Staatsbank in Verbindung gebracht

Das störende Ransomware-Angriff auf die größte Bank der Welt diese Woche, die Industrial and Commercial Bank of China (ICBC) der VR China, könnte mit einer kritischen Schwachstelle in Verbindung gebracht werden Citrix gab letzten Monat seine NetScaler-Technologie bekannt. Die Situation verdeutlicht, warum Unternehmen sofort gegen die Bedrohung vorgehen müssen, wenn sie dies noch nicht getan haben.

Die sogenannte „CitrixBleed“-Schwachstelle (CVE-2023-4966) betrifft mehrere lokale Versionen der Anwendungsbereitstellungsplattformen Citrix NetScaler ADC und NetScaler Gateway.

Die Sicherheitslücke hat einen Schweregrad von 9.4 von maximal 10 auf der CVSS 3.1-Skala und bietet Angreifern die Möglichkeit, vertrauliche Informationen zu stehlen und Benutzersitzungen zu kapern. Citrix hat den Fehler als aus der Ferne ausnutzbar beschrieben und weist eine geringe Angriffskomplexität, keine besonderen Privilegien und keine Benutzerinteraktion auf.

Massenausbeutung von CitrixBleed

Bedrohungsakteure nutzen den Fehler seit August aktiv aus – mehrere Wochen bevor Citrix am 10. Oktober aktualisierte Versionen der betroffenen Software veröffentlichte. Forscher von Mandiant, die den Fehler entdeckt und an Citrix gemeldet haben, haben diesen Unternehmen ebenfalls dringend empfohlen Beenden Sie alle aktiven Sitzungen auf jedem betroffenen NetScaler-Gerät, da authentifizierte Sitzungen möglicherweise auch nach dem Update bestehen bleiben.

Der Ransomware-Angriff auf den US-Zweig des staatlichen ICBC scheint eine öffentliche Manifestation der Exploit-Aktivität zu sein. In einem Aussage Anfang dieser Woche gab die Bank bekannt, dass sie am 8. November einen Ransomware-Angriff erlebt hatte, der einige ihrer Systeme lahmlegte. Der Financial Times und andere Medien zitierten Quellen, die sie darüber informierten, dass LockBit-Ransomware-Betreiber hinter dem Angriff stecken.

Sicherheitsforscher Kevin Beaumont wies auf einen ungepatchten Citrix NetScaler bei ICBC hin Box am 6. November als potenzieller Angriffsvektor für die LockBit-Akteure.

„Zum Zeitpunkt des Verfassens dieses Beitrags haben über 5,000 Organisationen noch keinen Patch installiert #CitrixBleed“, sagte Beaumont. „Es ermöglicht eine vollständige und einfache Umgehung aller Formen der Authentifizierung und wird von Ransomware-Gruppen ausgenutzt. Es ist so einfach wie das Zeigen und Klicken in Organisationen – es gibt Angreifern am anderen Ende einen vollständig interaktiven Remote-Desktop-PC.“

Angriffe auf uneingeschränkte NetScaler-Geräte wurden angenommen Massenausbeutung Status in den letzten Wochen. Öffentlich verfügbar technische Details Der Fehler hat zumindest einen Teil der Aktivitäten angeheizt.

Ein Bericht von ReliaQuest hat diese Woche darauf hingewiesen, dass mindestens vier Bedrohungsgruppen organisiert sind sind derzeit auf der Suche nach dem Fehler. Eine der Gruppen hat die Ausnutzung von CitrixBleed automatisiert. ReliaQuest berichtete, dass es allein zwischen dem 7. und 9. November „mehrere einzigartige Kundenvorfälle mit Ausnutzung von Citrix Bleed“ beobachtet habe.

„ReliaQuest hat mehrere Fälle in Kundenumgebungen identifiziert, in denen Bedrohungsakteure den Citrix Bleed-Exploit genutzt haben“, sagte ReliaQuest. „Nachdem sie sich den ersten Zugriff verschafft hatten, erfassten die Angreifer schnell die Umgebung, wobei der Schwerpunkt auf Geschwindigkeit statt Heimlichkeit lag“, stellte das Unternehmen fest. Bei einigen Vorfällen haben die Angreifer Daten exfiltriert und bei anderen haben sie offenbar versucht, Ransomware einzusetzen, sagte ReliaQuest.

Neueste Daten des Internet-Verkehrsanalyseunternehmens GreyNoise zeigen Versuche, CitrixBleed von mindestens XNUMX % auszunutzen 51 einzigartige IP-Adressen – gesunken von rund 70 Ende Oktober.

CISA gibt Leitlinien zu CitrixBleed heraus

Die Exploit-Aktivität hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) zu einer Stellungnahme veranlasst frische Führung und Ressourcen zum Umgang mit der CitrixBleed-Bedrohung. CISA warnte vor einer „aktiven, gezielten Ausnutzung“ des Fehlers und forderte Organisationen dazu auf, „uneingeschränkte Appliances auf die aktualisierten Versionen zu aktualisieren“, die Citrix letzten Monat veröffentlicht hatte.

Bei der Sicherheitslücke selbst handelt es sich um ein Pufferüberlaufproblem, das die Offenlegung vertraulicher Informationen ermöglicht. Es betrifft lokale Versionen von NetScaler, wenn es als Authentifizierungs-, Autorisierungs- und Kontoführungsgerät (AAA) oder als Gateway-Gerät wie ein virtueller VPN-Server oder ein ICA- oder RDP-Proxy konfiguriert ist.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw