"CitrixBleed" liittyy Kiinan valtion omistaman pankin Ransomware-hittiin

Häiritsevä ransomware-hyökkäys maailman suurinta pankkia vastaan ​​tällä viikolla, Kiinan Industrial and Commercial Bank of China (ICBC), saattaa olla sidottu kriittiseen haavoittuvuuteen, joka Citrix julkisti NetScaler-teknologiansa viime kuussa. Tilanne korostaa, miksi organisaatioiden täytyy välittömästi paikata uhkaa vastaan, jos he eivät ole sitä jo tehneet.

Niin kutsuttu "CitrixBleed"-haavoittuvuus (CVE-2023-4966) vaikuttaa useisiin Citrix NetScaler ADC:n ja NetScaler Gatewayn sovellusten toimitusalustojen paikallisiin versioihin.

Haavoittuvuuden vakavuusaste on 9.4/10 CVSS 3.1 -asteikolla, ja se antaa hyökkääjille tavan varastaa arkaluonteisia tietoja ja kaapata käyttäjien istuntoja. Citrix on kuvaillut virhettä etäkäyttöiseksi ja siihen liittyy vähän hyökkäyksen monimutkaisuutta, ei erityisoikeuksia eikä käyttäjän vuorovaikutusta.

Massiivinen CitrixBleedin hyväksikäyttö

Uhkatoimijat ovat käyttäneet vikaa aktiivisesti hyväkseen elokuusta lähtien – useita viikkoja ennen kuin Citrix julkaisi päivitetyt versiot ongelmallisista ohjelmistoista 10. lokakuuta. Mandiantin tutkijat, jotka löysivät virheen ja ilmoittivat siitä Citrixille, ovat myös painokkaasti suosittaneet organisaatioita lopettaa kaikki aktiiviset istunnot jokaisessa NetScaler-laitteessa, jota asia koskee, koska todennetut istunnot voivat jatkua jopa päivityksen jälkeen.

Kiristysohjelmahyökkäys valtion omistaman ICBC:n yhdysvaltalaista haaraa vastaan ​​näyttää olevan yksi hyväksikäyttötoiminnan julkinen ilmentymä. Jonkin sisällä selvitys aiemmin tällä viikolla pankki paljasti, että se oli kokenut lunnasohjelmahyökkäyksen 8. marraskuuta, joka häiritsi joitakin sen järjestelmiä. The Financial Times ja muut myyntipisteet lainasivat lähteitä, jotka kertoivat heille, että LockBit ransomware -operaattorit olivat hyökkäyksen takana.

Turvallisuustutkija Kevin Beaumont osoitti korjaamatonta Citrix NetScaleria ICBC:ssä laatikko 6. marraskuuta yhtenä mahdollisena hyökkäysvektorina LockBit-näyttelijöille.

"Tätä kirjoitettaessa yli 5,000 XNUMX organisaatiota ei ole vieläkään korjannut #CitrixBleed”, Beaumont sanoi. "Se mahdollistaa täydellisen ja helpon kaikenlaisen todennuksen ohituksen, ja kiristysohjelmaryhmät käyttävät sitä hyväkseen. Se on yhtä helppoa kuin osoittaa ja napsauttaa tiesi organisaatioiden sisälle – se antaa hyökkääjille täysin interaktiivisen etäpöytätietokoneen [toisessa päässä].

Hyökkäykset rajoittamattomiin NetScaler-laitteisiin on oletettu massariisto tila viime viikkoina. Julkisesti saatavilla tekniset yksityiskohdat virhe on ruokkinut ainakin osaa toiminnasta.

Raportti ReliaQuest ilmoitti tällä viikolla, että ainakin neljä järjesti uhkaryhmiä kohdistuvat tällä hetkellä virheeseen. Yksi ryhmistä on hyödyntänyt CitrixBleediä automaattisesti. ReliaQuest raportoi havainneensa "useita ainutlaatuisia asiakastapauksia, joissa käytettiin Citrix Bleedin hyväksikäyttöä" juuri 7. ja 9. marraskuuta välisenä aikana.

"ReliaQuest on tunnistanut useita tapauksia asiakasympäristöissä, joissa uhkatoimijat ovat käyttäneet Citrix Bleed -hyökkää", ReliaQuest sanoi. "Saatuaan ensimmäisen pääsyn vastustajat listasivat nopeasti ympäristön keskittyen nopeuteen salaisuuden sijaan", yhtiö huomautti. Joissakin tapauksissa hyökkääjät suodattivat tietoja ja toisissa he näyttävät yrittäneen ottaa käyttöön kiristysohjelmia, ReliaQuest sanoi.

Internet-liikenteen analysointiyrityksen GreyNoisen uusimmat tiedot osoittavat yrityksiä hyödyntää CitrixBleediä ainakin 51 yksilöllistä IP-osoitetta – laski noin 70:stä lokakuun lopulla.

CISA antaa ohjeita CitrixBleedistä

Hyödyntämistoiminta on saanut Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvaviraston (CISA) myöntämään tuore opastus ja resursseja tällä viikolla CitrixBleed-uhan torjuntaan. CISA varoitti bugin "aktiivisesta, kohdistetusta hyväksikäytöstä" kehottamalla organisaatioita "päivittämään rajoituksetta laitteet päivitettyihin versioihin", jotka Citrix julkaisi viime kuussa.

Haavoittuvuus itsessään on puskurin ylivuotoongelma, joka mahdollistaa arkaluonteisten tietojen paljastamisen. Se vaikuttaa NetScalerin paikallisiin versioihin, kun ne on määritetty todennus-, valtuutus- ja kirjanpitolaitteiksi (AAA) tai yhdyskäytävälaitteeksi, kuten VPN-virtuaalipalvelimeksi tai ICA- tai RDP-välityspalvelimeksi.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw