« CitrixBleed » lié à un ransomware sur une banque publique chinoise

Le disruptif attaque de ransomware contre la plus grande banque du monde cette semaine, la Banque industrielle et commerciale de Chine (ICBC) de la RPC, pourrait être liée à une vulnérabilité critique qui Citrix l'a divulgué dans sa technologie NetScaler le mois dernier. Cette situation montre pourquoi les organisations doivent immédiatement mettre en œuvre des correctifs contre la menace si elles ne l'ont pas déjà fait.

La vulnérabilité dite « CitrixBleed » (CVE-2023-4966) affecte plusieurs versions sur site des plateformes de mise à disposition d’applications Citrix NetScaler ADC et NetScaler Gateway.

La vulnérabilité a un score de gravité de 9.4 sur un maximum possible de 10 sur l'échelle CVSS 3.1 et donne aux attaquants un moyen de voler des informations sensibles et de détourner les sessions utilisateur. Citrix a décrit la faille comme étant exploitable à distance et impliquant une faible complexité d'attaque, aucun privilège spécial et aucune interaction de l'utilisateur.

Exploitation massive de CitrixBleed

Les acteurs malveillants exploitent activement la faille depuis août, soit plusieurs semaines avant que Citrix ne publie des versions mises à jour des logiciels concernés le 10 octobre. Les chercheurs de Mandiant qui ont découvert et signalé la faille à Citrix ont également fortement recommandé aux organisations de le faire. mettre fin à toutes les sessions actives sur chaque appareil NetScaler concerné en raison de la possibilité que les sessions authentifiées persistent même après la mise à jour.

L’attaque par ransomware contre la branche américaine de la société d’État ICBC semble être une manifestation publique de cette activité d’exploitation. Dans un déclaration plus tôt cette semaine, la banque a révélé qu'elle avait subi une attaque de ransomware le 8 novembre qui avait perturbé certains de ses systèmes. Le Financial Times et d'autres médias ont cité des sources les informant que les opérateurs du ransomware LockBit étaient à l'origine de l'attaque.

Chercheur en sécurité Kevin Beaumont a souligné un Citrix NetScaler non corrigé à l'ICBC box le 6 novembre comme vecteur d'attaque potentiel pour les acteurs de LockBit.

"Au moment d'écrire ces lignes, plus de 5,000 XNUMX organisations n'ont toujours pas mis à jour les correctifs. #CitrixBleed", a déclaré Beaumont. « Il permet de contourner complètement et facilement toutes les formes d’authentification et est exploité par des groupes de ransomwares. C'est aussi simple que de pointer et de cliquer pour se frayer un chemin à l'intérieur des organisations : cela donne aux attaquants un PC de bureau à distance entièrement interactif [à] l'autre extrémité.

Les attaques contre les appareils NetScaler non atténués ont supposé exploitation de masse statut ces dernières semaines. Disponible publiquement détails techniques La faille a alimenté au moins une partie de l'activité.

Un rapport de ReliaQuest a indiqué cette semaine qu'au moins quatre groupes menaçants organisés ciblent actuellement la faille. L'un des groupes a automatisé l'exploitation de CitrixBleed. ReliaQuest a signalé avoir observé « plusieurs incidents clients uniques impliquant l’exploitation de Citrix Bleed » entre le 7 et le 9 novembre.

« ReliaQuest a identifié plusieurs cas dans des environnements clients dans lesquels des acteurs malveillants ont utilisé l'exploit Citrix Bleed », a déclaré ReliaQuest. "Après avoir obtenu un premier accès, les adversaires ont rapidement énuméré l'environnement, en mettant l'accent sur la vitesse plutôt que sur la furtivité", a noté la société. Dans certains incidents, les attaquants ont exfiltré des données et dans d'autres, ils semblent avoir tenté de déployer un ransomware, a déclaré ReliaQuest.

Les dernières données de la société d'analyse du trafic Internet GreyNoise montrent des tentatives d'exploitation de CitrixBleed depuis au moins 51 adresses IP uniques – contre environ 70 fin octobre.

CISA publie des conseils sur CitrixBleed

L'activité d'exploit a incité l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à publier de nouvelles orientations et des ressources cette semaine pour lutter contre la menace CitrixBleed. CISA a mis en garde contre « une exploitation active et ciblée » du bug en exhortant les organisations à « mettre à jour les appliances sans atténuation avec les versions mises à jour » publiées par Citrix le mois dernier.

La vulnérabilité elle-même est un problème de dépassement de tampon qui permet la divulgation d'informations sensibles. Cela affecte les versions sur site de NetScaler lorsqu'il est configuré en tant qu'authentification, autorisation et comptabilité (AAA) ou en tant que périphérique de passerelle tel qu'un serveur virtuel VPN ou un proxy ICA ou RDP.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw