「CitrixBleed」は中国国有銀行へのランサムウェア攻撃に関連している

「CitrixBleed」は中国国有銀行へのランサムウェア攻撃に関連している

タイムスタンプ:10年2023月1日59:XNUMX
「CitrixBleed」は、中国の国営銀行PlatoBlockchainデータインテリジェンスに対するランサムウェアヒットに関連している。垂直検索。あい。

破壊的 今週、世界最大の銀行に対するランサムウェア攻撃中国工商銀行 (ICBC) は、重大な脆弱性と関連している可能性があります。 シトリックスは先月、同社の NetScaler テクノロジーを明らかにした。 この状況は、組織が脅威に対してパッチをまだ適用していない場合に、直ちにパッチを適用する必要がある理由を浮き彫りにしています。

いわゆる「CitrixBleed」脆弱性 (CVE-2023-4966)は、Citrix NetScaler ADC および NetScaler Gateway アプリケーション配信プラットフォームの複数のオンプレミス バージョンに影響します。

この脆弱性の重大度スコアは、CVSS 9.4 スケールで最大 10 点中 3.1 であり、攻撃者に機密情報を盗み、ユーザー セッションをハイジャックする手段を与えます。 Citrix は、この欠陥はリモートから悪用可能であり、攻撃の複雑さは低く、特別な権限やユーザーの操作は必要ないと説明しています。

CitrixBleed の大量悪用

Citrix が 10 月 XNUMX 日に影響を受けるソフトウェアの更新版を発行する数週間前の XNUMX 月以来、攻撃者はこの欠陥を積極的に悪用しています。この欠陥を発見して Citrix に報告した Mandiant の研究者も、組織に次のことを強く推奨しています。 すべてのアクティブなセッションを終了します アップデート後も認証されたセッションが存続する可能性があるため、影響を受ける各 NetScaler デバイス上での再インストールが必要になります。

国営 ICBC の米国部門に対するランサムウェア攻撃は、悪用活動の公の場での現れの XNUMX つであると思われます。 で ステートメント 同銀行は今週初め、8月XNUMX日にランサムウェア攻撃を受け、システムの一部が混乱したことを明らかにした。 の フィナンシャル·タイムズ および他の報道機関は、情報筋の情報として、LockBit ランサムウェア オペレーターが攻撃の背後にいると伝えています。

セキュリティ研究者 Kevin Beaumont 氏が ICBC でパッチが適用されていない Citrix NetScaler を指摘しました LockBit 攻撃者に対する潜在的な攻撃ベクトルの 6 つとして、XNUMX 月 XNUMX 日にボックスが公開されました。

「このトゥートを書いている時点で、5,000 を超える組織がまだパッチを適用していません #CitrixBleed」とボーモント氏は語った。 「これにより、あらゆる形式の認証が完全かつ簡単にバイパスされ、ランサムウェア グループによって悪用されています。 ポイントしてクリックするだけで組織内に侵入でき、攻撃者に完全にインタラクティブなリモート デスクトップ PC を相手側に提供します。」

軽減されていない NetScaler デバイスに対する攻撃は、次のように想定されています。 大量搾取 ここ数週間の状況。 一般公開 技術的な詳細 この欠陥により、少なくとも一部の活動が活発化しました。

からの報告 ReliaQuest は今週、少なくとも XNUMX つの組織化された脅威グループを示唆しました。 現在この欠陥をターゲットにしています。 グループの 7 つは、CitrixBleed の悪用を自動化しました。 ReliaQuest は、9 月 XNUMX 日から XNUMX 月 XNUMX 日の間に「Citrix Bleed の悪用を特徴とする複数のユニークな顧客インシデント」を観察したと報告しました。

「ReliaQuest は、顧客環境において脅威アクターが Citrix Bleed エクスプロイトを使用した複数の事例を特定しました」と ReliaQuest は述べています。 「最初のアクセスを獲得した攻撃者は、ステルス性よりもスピードを重視して、すぐに環境を列挙した」と同社は指摘した。 ReliaQuestによると、攻撃者がデータを窃取した事件もあれば、ランサムウェアの導入を試みたとみられる事件もあったという。

インターネットトラフィック分析会社GreyNoiseの最新データは、少なくともCitrixBleedを悪用する試みを示しています 51 個の一意の IP アドレス — 70月下旬の約XNUMX人から減少。

CISA が CitrixBleed に関するガイダンスを発行

このエクスプロイト活動により、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は次のような警告を発しました。 新鮮な指導 今週は、CitrixBleed 脅威への対処に関するリソースを提供します。 CISAは、Citrixが先月リリースした「軽減されていないアプライアンスを最新バージョンに更新する」よう組織に促し、バグの「積極的かつ標的を絞った悪用」について警告した。

この脆弱性自体は、機密情報の漏洩を可能にするバッファ オーバーフローの問題です。 これは、認証、認可、およびアカウンティング (AAA) として構成されている場合、または VPN 仮想サーバーや ICA または RDP プロキシなどのゲートウェイ デバイスとして構成されている場合、NetScaler のオンプレミス バージョンに影響します。

タイムスタンプ:

より多くの 暗い読書