Il dirompente attacco ransomware alla banca più grande del mondo questa settimana, la Banca industriale e commerciale cinese (ICBC) della RPC, potrebbe essere legata a una vulnerabilità critica che Citrix ha annunciato la sua tecnologia NetScaler il mese scorso. La situazione evidenzia il motivo per cui le organizzazioni devono immediatamente affrontare la minaccia se non lo hanno già fatto.
La cosiddetta vulnerabilità “CitrixBleed” (CVE-2023-4966) interessa più versioni locali delle piattaforme di distribuzione delle applicazioni Citrix NetScaler ADC e NetScaler Gateway.
La vulnerabilità ha un punteggio di gravità di 9.4 su un massimo di 10 sulla scala CVSS 3.1 e offre agli aggressori un modo per rubare informazioni sensibili e dirottare le sessioni degli utenti. Citrix ha descritto la falla come sfruttabile da remoto e che comporta una bassa complessità di attacco, nessun privilegio speciale e nessuna interazione con l'utente.
Sfruttamento di massa di CitrixBleed
Gli autori delle minacce sfruttano attivamente la falla da agosto, diverse settimane prima che Citrix rilasciasse versioni aggiornate del software interessato il 10 ottobre. I ricercatori di Mandiant che hanno scoperto e segnalato la falla a Citrix hanno inoltre fortemente raccomandato alle organizzazioni di terminare tutte le sessioni attive su ciascun dispositivo NetScaler interessato a causa della possibilità che le sessioni autenticate persistano anche dopo l'aggiornamento.
L'attacco ransomware alla filiale statunitense della ICBC di proprietà statale sembra essere una manifestazione pubblica dell'attività di exploit. In un dichiarazione all'inizio di questa settimana, la banca ha rivelato di aver subito un attacco ransomware l'8 novembre che ha interrotto alcuni dei suoi sistemi. IL Financial Times e altri organi di stampa hanno citato fonti che li informavano sugli operatori del ransomware LockBit come dietro l'attacco.
Ricercatore di sicurezza Kevin Beaumont ha indicato un Citrix NetScaler senza patch presso l'ICBC box il 6 novembre come potenziale vettore di attacco per gli autori di LockBit.
“Al momento della stesura di questo messaggio, oltre 5,000 organizzazioni non hanno ancora installato la patch #CitrixBleed", ha detto Beaumont. “Consente di aggirare in modo semplice e completo tutte le forme di autenticazione e viene sfruttato dai gruppi ransomware. È semplice come puntare e fare clic all’interno delle organizzazioni: offre agli aggressori un PC desktop remoto completamente interattivo dall’altra parte”.
Si sono presupposti attacchi ai dispositivi NetScaler assoluti sfruttamento di massa situazione nelle ultime settimane. Disponibile pubblicamente dettagli tecnici del difetto ha alimentato almeno parte dell’attività.
Un rapporto da ReliaQuest questa settimana ha indicato che almeno quattro gruppi di minaccia organizzati stanno attualmente prendendo di mira il difetto. Uno dei gruppi ha automatizzato lo sfruttamento di CitrixBleed. ReliaQuest ha riferito di aver osservato "molti incidenti unici legati allo sfruttamento di Citrix Bleed" proprio tra il 7 e il 9 novembre.
"ReliaQuest ha identificato numerosi casi negli ambienti dei clienti in cui gli autori delle minacce hanno utilizzato l'exploit Citrix Bleed", ha affermato ReliaQuest. "Dopo aver ottenuto l'accesso iniziale, gli avversari hanno rapidamente enumerato l'ambiente, concentrandosi sulla velocità piuttosto che sulla furtività", ha osservato la società. In alcuni incidenti gli aggressori hanno esfiltrato dati e in altri sembrano aver tentato di distribuire ransomware, ha affermato ReliaQuest.
Gli ultimi dati della società di analisi del traffico Internet GreyNoise mostrano tentativi di sfruttare CitrixBleed almeno da 51 indirizzi IP univoci – in calo rispetto ai circa 70 di fine ottobre.
CISA pubblica linee guida su CitrixBleed
L’attività di exploit ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti a rilasciare un’emissione nuova guida e risorse questa settimana su come affrontare la minaccia CitrixBleed. La CISA ha messo in guardia contro uno “sfruttamento attivo e mirato” del bug, esortando le organizzazioni ad “aggiornare gli apparecchi non mitigati alle versioni aggiornate” che Citrix ha rilasciato il mese scorso.
La vulnerabilità stessa è un problema di buffer overflow che consente la divulgazione di informazioni riservate. Interessa le versioni locali di NetScaler quando configurate come Autenticazione, Autorizzazione e Contabilità (AAA) o come dispositivo gateway come un server virtuale VPN o un proxy ICA o RDP.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw
- :ha
- :È
- 000
- 1
- 10
- 7
- 70
- 8
- 9
- a
- AAA
- WRI
- accesso
- Contabilità
- attivo
- attivamente
- attività
- attori
- indirizzamento
- influenzato
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzia
- Tutti
- consente
- già
- anche
- an
- .
- ed
- e infrastruttura
- apparire
- appare
- elettrodomestici
- Applicazioni
- SONO
- ARM
- in giro
- AS
- assunto
- At
- attacco
- tentato
- Tentativi
- AGOSTO
- autenticato
- Autenticazione
- autorizzazione
- Automatizzata
- disponibile
- Banca
- banca di Cina
- BE
- perché
- stato
- prima
- dietro
- essendo
- fra
- Scatola
- bufferizzare
- buffer overflow
- Insetto
- by
- casi
- Cina
- Commercial Bank of China (ICBC)
- azienda
- completamento di una
- complessità
- configurato
- critico
- Attualmente
- cliente
- Cybersecurity
- dati
- consegna
- schierare
- descritta
- tavolo
- dispositivo
- dispositivi
- Rivelazione
- scoperto
- perturbato
- dirompente
- fatto
- giù
- ogni
- In precedenza
- facile
- Abilita
- fine
- Ambiente
- ambienti
- Anche
- esperto
- Sfruttare
- sfruttamento
- Exploited
- sfruttando
- Grazie
- Impresa
- difetto
- Focus
- Nel
- forme
- quattro
- da
- FT
- alimentato
- completamente
- guadagnato
- porta
- dà
- Gruppo
- guida
- ha avuto
- Avere
- porto
- avendo
- evidenzia
- dirottare
- Colpire
- http
- HTTPS
- ICBC
- identificato
- if
- subito
- in
- indicato
- industriale
- informazioni
- Infrastruttura
- inizialmente
- interno
- interazione
- interattivo
- Internet
- coinvolgendo
- IP
- problema
- Rilasciato
- sicurezza
- IT
- SUO
- stessa
- jpg
- ad appena
- maggiore
- Cognome
- In ritardo
- meno
- connesso
- Basso
- massimo
- Maggio..
- Mese
- multiplo
- Bisogno
- no
- noto
- novembre
- ottobre
- ottobre
- of
- on
- ONE
- Operatori
- or
- organizzazioni
- Organizzato
- Altro
- Altri
- su
- Outlets
- ancora
- Toppa
- PC
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- possibile
- potenziale
- PRC
- privilegi
- delega
- la percezione
- pubblicamente
- rapidamente
- ransomware
- Attacco ransomware
- recente
- raccomandato
- rilasciato
- a distanza
- da remoto
- rapporto
- Segnalati
- ricercatore
- ricercatori
- Risorse
- s
- Suddetto
- Scala
- Punto
- problemi di
- delicata
- server
- sessioni
- alcuni
- Spettacoli
- Un'espansione
- da
- situazione
- So
- Software
- alcuni
- fonti
- la nostra speciale
- velocità
- di proprietà statale
- Stato dei servizi
- Stealth
- Ancora
- fortemente
- tale
- SISTEMI DI TRATTAMENTO
- mirata
- mira
- Tecnologia
- che
- Il
- il mondo
- Li
- di
- questo
- questa settimana
- minaccia
- attori della minaccia
- Legato
- a
- traffico
- unico
- assoluto
- Aggiornanento
- aggiornato
- sollecitando
- us
- utilizzato
- Utente
- versioni
- virtuale
- VPN
- vulnerabilità
- Modo..
- settimana
- Settimane
- quando
- quale
- OMS
- perché
- con
- mondo
- scrittura
- Trasferimento da aeroporto a Sharm
- zefiro
