"CitrixBleed", mis on seotud lunavaraga Hiina riigile kuuluvas pangas

Häiriv lunavararünnak maailma suurima panga vastu sel nädalal, Hiina Hiina tööstus- ja kaubanduspank (ICBC), võib olla seotud kriitilise haavatavusega, mis Citrix avalikustas eelmisel kuul oma NetScaleri tehnoloogias. Olukord toob esile, miks organisatsioonid peavad ohu vastu kohe lappima, kui nad pole seda juba teinud.

Niinimetatud CitrixBleedi haavatavus (CVE-2023-4966) mõjutab mitut Citrix NetScaler ADC ja NetScaler Gateway rakenduste edastusplatvormide kohapealset versiooni.

Haavatavuse raskusaste on 9.4 maksimaalsest võimalikust 10-st CVSS 3.1 skaalal ning see annab ründajatele võimaluse varastada tundlikku teavet ja kaaperdada kasutajaseansse. Citrix on kirjeldanud viga kui kaugkasutatavat ja madalat rünnakute keerukust, eriõigusi ja kasutajapoolset suhtlemist.

Massiline CitrixBleedi ekspluateerimine

Ohutegijad on viga aktiivselt ära kasutanud alates augustist – mitu nädalat enne seda, kui Citrix avaldas mõjutatud tarkvara uuendatud versioonid 10. oktoobril. Mandianti teadlased, kes avastasid vea ja teatasid Citrixile, on samuti tungivalt soovitanud organisatsioonidel lõpetage kõik aktiivsed seansid igas mõjutatud NetScaleri seadmes, kuna autentitud seansid võivad püsida ka pärast värskendust.

Lunavararünnak riigile kuuluva ICBC USA haru vastu näib olevat ärakasutamise üks avalik ilming. Sees avaldus Selle nädala alguses avalikustas pank, et oli 8. novembril kogenud lunavararünnakut, mis häiris mõningaid tema süsteeme. The Financial Times ja teised müügikohad tsiteerisid allikaid, kes teavitasid neid LockBiti lunavaraoperaatoritest kui rünnaku taga.

Turvalisuse uurija Kevin Beaumont osutas ICBC-s paigatamata Citrix NetScalerile 6. novembril ühe potentsiaalse rünnakuvektorina LockBiti näitlejatele.

"Selle tooti kirjutamise seisuga pole üle 5,000 organisatsiooni ikka veel paigatud #CitrixBleed"ütles Beaumont. "See võimaldab täielikku ja hõlpsat kõigist autentimisvormidest mööda minna ja seda kasutavad lunavararühmad. See on sama lihtne kui osutada ja klõpsata oma teed organisatsioonidesse – see annab ründajatele täielikult interaktiivse kaugtöölaua arvuti teises otsas.

Rünnakud piiramatute NetScaleri seadmete vastu on eeldatud massiline ekspluateerimine staatus viimastel nädalatel. Avalikult kättesaadav tehnilised detailid viga on vähemalt osa tegevusest õhutanud.

Aastaaruanne ReliaQuest näitas sel nädalal, et ohurühmitusi organiseeris vähemalt neli sihivad praegu viga. Ühel rühmal on CitrixBleedi automatiseeritud kasutamine. ReliaQuest teatas, et täheldas 7. ja 9. novembri vahel "mitu ainulaadset kliendijuhtumit, mis hõlmasid Citrix Bleedi ärakasutamist".

"ReliaQuest on tuvastanud kliendikeskkondades mitu juhtumit, kus ohus osalejad on kasutanud Citrix Bleedi ärakasutamist," ütles ReliaQuest. "Pärast esialgse juurdepääsu saamist loendasid vastased kiiresti keskkonna, keskendudes kiirusele, mitte vargusele," märkis ettevõte. Mõne intsidendi puhul uurisid ründajad andmeid ja teiste puhul näivad nad olevat püüdnud juurutada lunavara, ütles ReliaQuest.

Interneti-liikluse analüüsifirma GreyNoise uusimad andmed näitavad katseid CitrixBleedi ära kasutada vähemalt 51 unikaalset IP-aadressi — langes umbes 70-lt oktoobri lõpus.

CISA annab välja CitrixBleedi juhised

Kasutustegevus on ajendanud USA küberturvalisuse ja infrastruktuuri turvalisuse agentuuri (CISA) väljastama värsked juhised ja sel nädalal ressursse CitrixBleedi ohuga tegelemiseks. CISA hoiatas vea "aktiivse ja sihipärase ärakasutamise" eest, kutsudes organisatsioone üles "uuendama seadmeid piiramatult värskendatud versioonidele", mille Citrix eelmisel kuul välja andis.

Haavatavus ise on puhvri ületäitumise probleem, mis võimaldab tundliku teabe avalikustamist. See mõjutab NetScaleri kohapealseid versioone, kui need on konfigureeritud autentimiseks, autoriseerimiseks ja raamatupidamiseks (AAA) või lüüsiseadmeks (nt VPN-i virtuaalserver või ICA või RDP puhverserver).

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw