"CitrixBleed" به هیت باج افزار در بانک دولتی چین مرتبط است

مخل حمله باج افزار به بزرگترین بانک جهان در این هفته، بانک صنعتی و تجاری چین (ICBC)، ممکن است به یک آسیب پذیری حیاتی مرتبط باشد که سیتریکس ماه گذشته در فناوری NetScaler خود افشا شد. این وضعیت نشان می‌دهد که چرا سازمان‌ها باید فوراً در برابر تهدید مقابله کنند، اگر قبلاً این کار را انجام نداده‌اند.

آسیب پذیری به اصطلاح "CitrixBleed" (CVE-2023-4966) بر چندین نسخه داخلی سیتریکس NetScaler ADC و پلتفرم های تحویل برنامه NetScaler Gateway تأثیر می گذارد.

این آسیب پذیری دارای امتیاز 9.4 از حداکثر 10 ممکن در مقیاس CVSS 3.1 است و به مهاجمان راهی برای سرقت اطلاعات حساس و ربودن جلسات کاربر می دهد. سیتریکس این نقص را به‌عنوان قابل بهره‌برداری از راه دور و شامل پیچیدگی حمله کم، بدون امتیازات ویژه و عدم تعامل کاربر توصیف کرده است.

بهره برداری انبوه CitrixBleed

عوامل تهدید از اوت به طور فعال از این نقص بهره برداری می کنند - چند هفته قبل از اینکه Citrix نسخه های به روز نرم افزار آسیب دیده را در 10 اکتبر منتشر کرد. محققان Mandiant که این نقص را کشف کرده و به Citrix گزارش کردند نیز قویاً به سازمان ها توصیه کرده اند. تمام جلسات فعال را خاتمه دهید در هر دستگاه NetScaler تحت تأثیر قرار گرفته، به دلیل پتانسیل برگزاری جلسات تأیید اعتبار حتی پس از به‌روزرسانی.

به نظر می رسد حمله باج افزار به بازوی ایالات متحده ICBC دولتی یکی از تظاهرات عمومی فعالیت بهره برداری باشد. در یک بیانیه اوایل این هفته، این بانک فاش کرد که در 8 نوامبر با حمله باج افزاری مواجه شده است که برخی از سیستم های آن را مختل کرده است. این فایننشال تایمز و سایر رسانه ها به نقل از منابعی به آنها اطلاع دادند که اپراتورهای باج افزار LockBit در پشت این حمله قرار دارند.

محقق امنیتی کوین بومونت به یک Citrix NetScaler اصلاح نشده در ICBC اشاره کرد جعبه در 6 نوامبر به عنوان یک بردار حمله احتمالی برای بازیگران LockBit.

"در زمان نوشتن این مقاله، بیش از 5,000 ارگ هنوز وصله نشده اند #CitrixBleedبومونت گفت. "این امکان دور زدن کامل و آسان همه اشکال احراز هویت را فراهم می کند و توسط گروه های باج افزار مورد سوء استفاده قرار می گیرد. این کار به سادگی نشان دادن و کلیک کردن روی راه خود در داخل سازمان‌ها است – به مهاجمان یک کامپیوتر دسکتاپ از راه دور کاملاً تعاملی [در] سمت دیگر می‌دهد.

حملات به دستگاه های NetScaler غیر قابل کاهش فرض شده است استثمار انبوه وضعیت در هفته های اخیر در دسترس عموم جزییات فنی این نقص حداقل به بخشی از فعالیت ها دامن زده است.

گزارش از ReliaQuest این هفته نشان داد که حداقل چهار گروه تهدید سازماندهی شده اند در حال حاضر این نقص را هدف قرار می دهند. یکی از گروه ها بهره برداری خودکار از CitrixBleed را انجام داده است. ReliaQuest گزارش داده است که بین 7 نوامبر و 9 نوامبر "چند رویداد منحصر به فرد مشتری با استفاده از Citrix Bleed" را مشاهده کرده است.

ReliaQuest گفت: "ReliaQuest موارد متعددی را در محیط های مشتری شناسایی کرده است که در آن عوامل تهدید از سوء استفاده Citrix Bleed استفاده کرده اند." این شرکت خاطرنشان کرد: «متخاصمان با دستیابی به دسترسی اولیه، به سرعت محیط را با تمرکز بر سرعت بیش از پنهان‌کاری برشمردند. ReliaQuest گفت که در برخی از حوادث، مهاجمان داده‌ها را استخراج کرده‌اند و در برخی دیگر به نظر می‌رسد که تلاش کرده‌اند باج‌افزار را مستقر کنند.

آخرین داده های شرکت تجزیه و تحلیل ترافیک اینترنتی GreyNoise نشان می دهد که تلاش هایی برای سوء استفاده از CitrixBleed از حداقل 51 آدرس IP منحصر به فرد - از حدود 70 در اواخر اکتبر کاهش یافته است.

CISA دستورالعمل‌های مربوط به CitrixBleed را صادر می‌کند

این فعالیت بهره برداری، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را بر آن داشته است تا راهنمایی تازه و منابع این هفته در مورد مقابله با تهدید CitrixBleed. CISA در مورد "استثمار فعال و هدفمند" از این اشکال هشدار داد و از سازمان‌ها خواست تا دستگاه‌های غیرقابل کاهش را به نسخه‌های به‌روز شده‌ای که سیتریکس ماه گذشته منتشر کرد، به‌روزرسانی کنند.

این آسیب‌پذیری خود یک مشکل سرریز بافر است که افشای اطلاعات حساس را ممکن می‌سازد. هنگامی که به عنوان یک تأیید هویت، مجوز و حسابداری (AAA) یا به عنوان یک دستگاه دروازه مانند سرور مجازی VPN یا یک پروکسی ICA یا RDP پیکربندی می شود، بر نسخه های داخلی NetScaler تأثیر می گذارد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw