A "CitrixBleed" a Ransomware-hez kapcsolódik a kínai állami bankban

A bomlasztó ransomware támadás a világ legnagyobb bankja ellen ezen a héten, a KNK Kínai Ipari és Kereskedelmi Bankja (ICBC) egy olyan kritikus sérülékenységhez köthető, A Citrix a múlt hónapban nyilvánosságra hozta a NetScaler technológiáját. A helyzet rávilágít arra, hogy a szervezeteknek miért kell azonnal javítaniuk a fenyegetés ellen, ha még nem tették meg.

Az úgynevezett „CitrixBleed” sebezhetőség (CVE-2023 4966-) a Citrix NetScaler ADC és a NetScaler Gateway alkalmazásszállítási platformok több helyszíni verzióját érinti.

A sérülékenység súlyossági mutatója a CVSS 9.4 skálán 10 a maximálisan lehetséges 3.1-ből, és lehetőséget ad a támadóknak érzékeny információk ellopására és felhasználói munkamenetek eltérítésére. A Citrix leírása szerint a hiba távolról kihasználható, és alacsony támadási bonyolultságú, nincs különleges jogosultság, és nincs felhasználói beavatkozás.

Mass CitrixBleed kizsákmányolás

A fenyegetés szereplői augusztus óta aktívan kihasználják a hibát – néhány héttel azelőtt, hogy a Citrix október 10-én kiadta volna az érintett szoftverek frissített verzióit. A Mandiant kutatói, akik felfedezték és jelentették a hibát a Citrixnek, határozottan azt javasolták a szervezeteknek, hogy az összes aktív munkamenet leállítása minden érintett NetScaler-eszközön, mert előfordulhat, hogy a hitelesített munkamenetek a frissítés után is fennmaradnak.

Az állami tulajdonban lévő ICBC amerikai ága elleni ransomware-támadás a kizsákmányoló tevékenység egyik nyilvános megnyilvánulása. Az a nyilatkozat A hét elején a bank nyilvánosságra hozta, hogy november 8-án ransomware támadást tapasztalt, amely megzavarta egyes rendszereit. A Financial Times és más üzletek olyan forrásokat idéztek, amelyek arról tájékoztatták őket, hogy a támadás mögött a LockBit ransomware üzemeltetői állnak.

Biztonsági kutató Kevin Beaumont egy javítatlan Citrix NetScalerre mutatott az ICBC-nél november 6-án, mint egy lehetséges támadási vektor a LockBit szereplői számára.

„A szócikk megírása óta több mint 5,000 szervezet még mindig nem javította a javítást #CitrixBleed– mondta Beaumont. „Lehetővé teszi a hitelesítés minden formájának teljes, egyszerű megkerülését, és a zsarolóvírus-csoportok kihasználják. Ez olyan egyszerű, mint a szervezetekbe való rámutatás és kattintás – a támadóknak teljesen interaktív távoli asztali PC-t ad a másik oldalon.”

A NetScaler eszközök elleni mérsékelt támadások feltételezhetőek tömeges kizsákmányolás állapota az elmúlt hetekben. Nyílvánosan elérhető műszaki információk a hiba legalább egy részét ösztönözte a tevékenységnek.

A jelentés A ReliaQuest ezen a héten jelezte, hogy legalább négy fenyegető csoportot szervezett jelenleg a hibát célozzák. Az egyik csoport a CitrixBleed automatizált kihasználásával rendelkezik. A ReliaQuest arról számolt be, hogy november 7. és november 9. között „több egyedi ügyfél-incidenst figyelt meg a Citrix Bleed kihasználásával”.

„A ReliaQuest több olyan esetet is azonosított ügyfélkörnyezetben, amikor a fenyegetés szereplői a Citrix Bleed kizsákmányolást használták” – mondta ReliaQuest. „A kezdeti hozzáférést követően az ellenfelek gyorsan számba vették a környezetet, a sebességre helyezve a hangsúlyt a lopakodó helyett” – jegyezte meg a vállalat. Egyes incidensek során a támadók kiszűrték az adatokat, másokban pedig úgy tűnik, hogy megpróbáltak zsarolóvírust telepíteni, mondta a ReliaQuest.

A GreyNoise internetes forgalomelemző cég legfrissebb adatai azt mutatják, hogy a CitrixBleed legalábbis megpróbálta kihasználni 51 egyedi IP-cím – csökkent az október végi 70 körüli értékről.

A CISA útmutatót ad ki a CitrixBleedről

A kiaknázási tevékenység arra késztette az Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökségét (CISA) friss útmutatást és forrásokat ezen a héten a CitrixBleed fenyegetés kezelésére. A CISA a hiba „aktív, célzott kihasználására” figyelmeztetett, és arra buzdította a szervezeteket, hogy „frissítsék az eszközöket a frissített verziókra”, amelyeket a Citrix a múlt hónapban adott ki.

Maga a biztonsági rés puffertúlcsordulási probléma, amely lehetővé teszi az érzékeny információk felfedését. Ez hatással van a NetScaler helyszíni verzióira, ha hitelesítési, engedélyezési és számviteli (AAA) vagy átjáróeszközként, például VPN virtuális kiszolgálóként, ICA- vagy RDP-proxyként van beállítva.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw