중국 국영은행 랜섬웨어 공격에 연결된 'CitrixBleed'

파괴적인 이번주 세계 최대 은행에 랜섬웨어 공격중국의 중국공상은행(ICBC)이 다음과 같은 심각한 취약점에 연루되어 있을 수 있습니다. Citrix는 지난달 NetScaler 기술을 공개했습니다. 이 상황은 조직이 아직 패치를 실시하지 않은 경우 위협에 대해 즉시 패치를 적용해야 하는 이유를 강조합니다.

소위 "CitrixBleed" 취약점(CVE-2023-4966)은 Citrix NetScaler ADC 및 NetScaler Gateway 응용 프로그램 제공 플랫폼의 여러 온프레미스 버전에 영향을 미칩니다.

이 취약점은 CVSS 9.4 척도에서 최대 10점 만점에 3.1점의 심각도 점수를 가지며, 공격자가 중요한 정보를 훔치고 사용자 세션을 하이재킹할 수 있는 방법을 제공합니다. Citrix는 이 결함을 원격으로 악용할 수 있으며 공격 복잡성이 낮고 특별한 권한이 없으며 사용자 상호 작용이 없다고 설명했습니다.

대규모 Citrix블리드 공격

위협 행위자들은 Citrix가 10월 XNUMX일에 영향을 받는 소프트웨어의 업데이트 버전을 발표하기 몇 주 전인 XNUMX월부터 이 결함을 적극적으로 악용해 왔습니다. 이 결함을 발견하고 Citrix에 보고한 Mandiant의 연구원들도 조직에 다음과 같이 강력히 권고했습니다. 모든 활성 세션 종료 업데이트 후에도 인증된 세션이 지속될 가능성이 있기 때문에 영향을 받는 각 NetScaler 장치에 적용됩니다.

국영 ICBC의 미국 지사에 대한 랜섬웨어 공격은 이러한 악용 활동이 공개적으로 나타난 것으로 보입니다. 안에 성명서 이번 주 초, 은행은 8월 XNUMX일 랜섬웨어 공격을 받아 일부 시스템이 중단됐다고 밝혔습니다. 그만큼 파이낸셜 타임즈 및 기타 매체에서는 소식통을 인용하여 LockBit 랜섬웨어 운영자가 공격의 배후에 있다는 사실을 알렸습니다.

보안 연구원 Kevin Beaumont는 ICBC에서 패치되지 않은 Citrix NetScaler를 지적했습니다. LockBit 행위자에 대한 잠재적 공격 벡터 중 하나로 6월 XNUMX일에 나온 상자를 참조하세요.

“이 글을 쓰는 시점에도 5,000개 이상의 조직이 아직 패치를 적용하지 않았습니다. #시트릭스블리드"라고 보몬트는 말했습니다. “모든 형태의 인증을 완전하고 쉽게 우회할 수 있으며 랜섬웨어 그룹이 이를 악용하고 있습니다. 이는 조직 내부를 가리키고 클릭하는 것만큼 간단합니다. 이는 공격자에게 반대쪽 끝에서 완전한 대화형 원격 데스크톱 PC를 제공합니다.”

완화되지 않은 NetScaler 장치에 대한 공격은 가정되었습니다. 대량 착취 최근 몇 주 동안의 상태입니다. 공개적으로 사용 가능 기술적 세부 사항 결함 중 일부는 활동의 일부를 촉진했습니다.

출처 : 이번 주 ReliaQuest에서는 최소 XNUMX개의 조직화된 위협 그룹이 있는 것으로 나타났습니다. 현재 결함을 목표로 삼고 있습니다. 그룹 중 하나는 CitrixBleed를 자동으로 악용했습니다. ReliaQuest는 7월 9일부터 XNUMX월 XNUMX일 사이에 "Citrix Bleed 악용을 특징으로 하는 여러 가지 고유한 고객 사건"을 관찰했다고 보고했습니다.

ReliaQuest는 “ReliaQuest는 위협 행위자가 Citrix Bleed 익스플로잇을 사용한 고객 환경의 여러 사례를 확인했습니다.”라고 말했습니다. "초기 액세스 권한을 얻은 적들은 스텔스보다 속도에 중점을 두고 신속하게 환경을 열거했습니다."라고 회사는 말했습니다. ReliaQuest는 일부 사건에서는 공격자가 데이터를 유출했으며 다른 사건에서는 랜섬웨어 배포를 시도한 것으로 보인다고 말했습니다.

인터넷 트래픽 분석 회사인 GreyNoise의 최신 데이터에 따르면 최소한 다음에서 CitrixBleed를 악용하려는 시도가 나타났습니다. 51개의 고유한 IP 주소 — 70월 말 약 XNUMX에서 감소했습니다.

CISA, CitrixBleed에 대한 지침 발표

익스플로잇 활동으로 인해 미국 사이버 보안 및 인프라 보안국(CISA)은 다음과 같은 문제를 제기했습니다. 신선한 지도 이번 주 CitrixBleed 위협 해결에 관한 리소스를 소개합니다. CISA는 시트릭스가 지난달 발표한 “완화되지 않은 어플라이언스를 업데이트된 버전으로 업데이트”하도록 조직에 촉구하는 버그의 “적극적이고 표적화된 악용”에 대해 경고했습니다.

취약점 자체는 민감한 정보 공개를 가능하게 하는 버퍼 오버플로 문제입니다. 이는 AAA(인증, 권한 부여 및 회계)로 구성되거나 VPN 가상 서버, ICA 또는 RDP 프록시와 같은 게이트웨이 장치로 구성된 경우 온프레미스 버전의 NetScaler에 영향을 줍니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw