'CitrixBleed' Terkait dengan Serangan Ransomware pada Bank Milik Negara Tiongkok

Yang mengganggu serangan ransomware terhadap bank terbesar di dunia minggu ini, Industrial and Commercial Bank of China (ICBC) milik RRT, mungkin terkait dengan kerentanan kritis yang Citrix mengungkapkan teknologi NetScalernya bulan lalu. Situasi ini menyoroti mengapa organisasi perlu segera melakukan perbaikan terhadap ancaman tersebut jika mereka belum melakukannya.

Kerentanan yang disebut “CitrixBleed” (CVE-2023-4966) memengaruhi beberapa versi lokal platform pengiriman aplikasi Citrix NetScaler ADC dan NetScaler Gateway.

Kerentanan ini memiliki skor tingkat keparahan 9.4 dari kemungkinan maksimum 10 pada skala CVSS 3.1, dan memberikan penyerang cara untuk mencuri informasi sensitif dan membajak sesi pengguna. Citrix menggambarkan kelemahan tersebut sebagai kelemahan yang dapat dieksploitasi dari jarak jauh dan melibatkan kompleksitas serangan yang rendah, tidak ada hak istimewa, dan tidak ada interaksi pengguna.

Eksploitasi CitrixBleed Massal

Pelaku ancaman telah secara aktif mengeksploitasi kelemahan ini sejak bulan Agustus – beberapa minggu sebelum Citrix mengeluarkan versi terbaru dari perangkat lunak yang terkena dampak pada 10 Oktober. Para peneliti di Mandiant yang menemukan dan melaporkan kelemahan tersebut ke Citrix juga sangat menyarankan agar organisasi tersebut menghentikan semua sesi aktif pada setiap perangkat NetScaler yang terpengaruh karena potensi sesi yang diautentikasi tetap ada bahkan setelah pembaruan.

Serangan ransomware terhadap cabang ICBC milik negara di AS tampaknya merupakan salah satu manifestasi publik dari aktivitas eksploitasi. Di sebuah pernyataan awal pekan ini, bank tersebut mengungkapkan bahwa mereka telah mengalami serangan ransomware pada 8 November yang mengganggu beberapa sistemnya. Itu Financial Times dan media lain mengutip sumber yang memberi tahu mereka bahwa operator ransomware LockBit berada di balik serangan itu.

Peneliti keamanan Kevin Beaumont menunjuk ke Citrix NetScaler yang belum ditambal di ICBC kotak pada 6 November sebagai salah satu vektor serangan potensial untuk aktor LockBit.

“Saat artikel ini ditulis, lebih dari 5,000 organisasi masih belum melakukan patch #CitrixBleed, kata Beaumont. “Ini memungkinkan bypass semua bentuk autentikasi secara lengkap dan mudah dan dieksploitasi oleh kelompok ransomware. Ini semudah menunjuk dan mengklik jalan Anda ke dalam organisasi — ini memberikan penyerang PC Remote Desktop yang sepenuhnya interaktif [di] ujung yang lain.”

Serangan terhadap perangkat NetScaler yang tidak tanggung-tanggung telah terjadi eksploitasi massal statusnya dalam beberapa minggu terakhir. Tersedia untuk umum rincian teknis kelemahan tersebut telah memicu setidaknya beberapa aktivitas.

Sebuah laporan dari ReliaQuest minggu ini menunjukkan bahwa setidaknya ada empat kelompok ancaman terorganisir saat ini menargetkan kelemahan tersebut. Salah satu grup memiliki eksploitasi otomatis CitrixBleed. ReliaQuest melaporkan mengamati “beberapa insiden pelanggan unik yang menampilkan eksploitasi Citrix Bleed” antara 7 November dan 9 November.

“ReliaQuest telah mengidentifikasi beberapa kasus di lingkungan pelanggan di mana pelaku ancaman telah menggunakan eksploitasi Citrix Bleed,” kata ReliaQuest. “Setelah mendapatkan akses awal, musuh dengan cepat menghitung lingkungan, dengan fokus pada kecepatan daripada sembunyi-sembunyi,” kata perusahaan itu. Dalam beberapa insiden, penyerang mengambil data dan dalam insiden lain mereka tampaknya berusaha menyebarkan ransomware, kata ReliaQuest.

Data terbaru dari firma analisis lalu lintas Internet GreyNoise menunjukkan setidaknya upaya untuk mengeksploitasi CitrixBleed 51 alamat IP unik — turun dari sekitar 70 pada akhir Oktober.

CISA Mengeluarkan Panduan tentang CitrixBleed

Aktivitas eksploitasi tersebut mendorong Badan Keamanan Siber dan Infrastruktur AS (CISA) mengeluarkannya bimbingan segar dan sumber daya minggu ini untuk mengatasi ancaman CitrixBleed. CISA memperingatkan “eksploitasi aktif dan tertarget” atas bug tersebut dengan mendesak organisasi untuk “memperbarui peralatan tanpa tanggung jawab ke versi terbaru” yang dirilis Citrix bulan lalu.

Kerentanannya sendiri adalah masalah buffer overflow yang memungkinkan pengungkapan informasi sensitif. Ini mempengaruhi versi NetScaler lokal ketika dikonfigurasi sebagai Autentikasi, Otorisasi, dan Akuntansi (AAA) atau sebagai perangkat gateway seperti server virtual VPN atau Proksi ICA atau RDP.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw