'CitrixBleed' מקושר ללהיט כופר בבנק בבעלות המדינה של סין

המפריע מתקפת תוכנת כופר על הבנק הגדול בעולם השבוע, הבנק התעשייתי והמסחרי של סין (ICBC), עשוי להיות קשור לפגיעות קריטית Citrix חשפה בטכנולוגיית NetScaler שלה בחודש שעבר. המצב מדגיש מדוע ארגונים צריכים לבצע תיקון מיידי נגד האיום אם הם לא עשו זאת כבר.

הפגיעות המכונה "CitrixBleed" (CVE-2023-4966) משפיע על גרסאות מקומיות מרובות של פלטפורמות אספקת יישומי Citrix NetScaler ADC ו-NetScaler Gateway.

לפגיעות יש ציון חומרה של 9.4 מתוך 10 מקסימום אפשרי בסולם CVSS 3.1, והיא נותנת לתוקפים דרך לגנוב מידע רגיש ולחטוף הפעלות של משתמשים. Citrix תיארה את הפגם כניתן לניצול מרחוק וכרוך במורכבות תקיפה נמוכה, ללא הרשאות מיוחדות וללא אינטראקציה עם המשתמש.

ניצול המוני של CitrixBleed

שחקני איום מנצלים את הפגם באופן פעיל מאז אוגוסט - מספר שבועות לפני שסיטריקס הנפיקה גרסאות מעודכנות של תוכנות מושפעות ב-10 באוקטובר. חוקרים ב-Mandiant שגילו ודיווחו על הפגם ל-Citrix המליצו בחום לארגונים להפסיק את כל ההפעלות הפעילות בכל מכשיר NetScaler מושפע בגלל הפוטנציאל של הפעלות מאומתות להימשך גם לאחר העדכון.

נראה שהתקפת תוכנת הכופר על הזרוע האמריקאית של ICBC בבעלות המדינה היא ביטוי ציבורי אחד לפעילות הניצול. ב הצהרה מוקדם יותר השבוע, הבנק חשף כי הוא חווה מתקפת כופר ב-8 בנובמבר ששיבשה חלק מהמערכות שלו. ה פייננשל טיימס ושקעים אחרים ציטטו מקורות שמודיעים להם על מפעילי תוכנת הכופר של LockBit כמי שעומדים מאחורי המתקפה.

חוקר אבטחה קווין ביומונט הצביע על Citrix NetScaler שלא תוקן ב-ICBC תיבת ב-6 בנובמבר בתור וקטור התקפה פוטנציאלי אחד עבור שחקני LockBit.

"נכון לכתיבת הקוד הזה, יותר מ-5,000 ארגונים עדיין לא תוקנו #CitrixBleed"אמר בומונט. "זה מאפשר עקיפת מוחלטת וקלה של כל צורות האימות ומנוצלת על ידי קבוצות תוכנות כופר. זה פשוט כמו הצבעה ולחיצה על דרכך בתוך ארגונים - זה נותן לתוקפים מחשב שולחן עבודה מרוחק אינטראקטיבי לחלוטין [בצד] השני."

התקפות על מכשירי NetScaler ללא תקלות הניחו ניצול המוני המצב בשבועות האחרונים. זמין לציבור פרטים טכניים של הפגם הניע לפחות חלק מהפעילות.

דו"ח מאת ReliaQuest ציינה השבוע שלפחות ארבע קבוצות איום מאורגנות כרגע מתמקדים בפגם. אחת הקבוצות עשתה ניצול אוטומטי של CitrixBleed. ReliaQuest דיווחה שצפתה ב"מספר תקריות ייחודיות של לקוחות הכוללות ניצול של Citrix Bleed" רק בין ה-7 ל-9 בנובמבר.

"ReliaQuest זיהתה מקרים מרובים בסביבות לקוחות בהן גורמי איומים השתמשו ב-Citrix Bleed נצל", אמרה ReliaQuest. "לאחר שהשיג גישה ראשונית, היריבים מנו במהירות את הסביבה, תוך התמקדות במהירות על פני התגנבות", ציינה החברה. בחלק מהמקרים התוקפים חילצו נתונים ובאחרים נראה שהם ניסו לפרוס תוכנות כופר, אמרה ReliaQuest.

הנתונים האחרונים של חברת ניתוח התעבורה באינטרנט GreyNoise מראים ניסיונות לנצל את CitrixBleed לפחות 51 כתובות IP ייחודיות - ירד מסביבות ה-70 בסוף אוקטובר.

הנחיית CISA בנושא CitrixBleed

פעילות הניצול גרמה לסוכנות האמריקנית לאבטחת סייבר ותשתיות (CISA) להנפיק הדרכה טרייה ומשאבים השבוע לטיפול באיום CitrixBleed. CISA הזהירה מפני "ניצול פעיל וממוקד" של הבאג בקריאה לארגונים "לעדכן מכשירים ללא תקלות לגרסאות המעודכנות" שסיטריקס הוציאה בחודש שעבר.

הפגיעות עצמה היא בעיית הצפת מאגר המאפשרת חשיפת מידע רגיש. זה משפיע על גרסאות מקומיות של NetScaler כאשר הוא מוגדר כאימות, הרשאה וחשבונאות (AAA) או כהתקן שער כגון שרת וירטואלי VPN או ICA או RDP Proxy.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw