'CitrixBleed' gekoppeld aan ransomware-hit op Chinese staatsbank

Het ontwrichtende ransomware-aanval op 's werelds grootste bank deze week, de Industrial and Commercial Bank of China (ICBC) van de Volksrepubliek China, is mogelijk verbonden met een kritieke kwetsbaarheid Citrix maakte dit vorige maand bekend in zijn NetScaler-technologie. De situatie maakt duidelijk waarom organisaties onmiddellijk maatregelen moeten nemen tegen de dreiging, als ze dat nog niet hebben gedaan.

De zogenaamde “CitrixBleed”-kwetsbaarheid (CVE-2023-4966) is van invloed op meerdere on-premises versies van Citrix NetScaler ADC en NetScaler Gateway application delivery-platforms.

De kwetsbaarheid heeft een ernstscore van 9.4 van de maximaal mogelijke 10 op de CVSS 3.1-schaal en geeft aanvallers een manier om gevoelige informatie te stelen en gebruikerssessies te kapen. Citrix heeft de fout beschreven als op afstand exploiteerbaar en met een lage aanvalscomplexiteit, geen speciale rechten en geen gebruikersinteractie.

Massale CitrixBleed-exploitatie

Bedreigingsactoren maken sinds augustus actief misbruik van de fout – enkele weken voordat Citrix op 10 oktober bijgewerkte versies van de getroffen software uitbracht. Onderzoekers van Mandiant die de fout ontdekten en aan Citrix rapporteerden, hebben organisaties ook sterk aanbevolen beëindig alle actieve sessies op elk getroffen NetScaler-apparaat vanwege de mogelijkheid dat geverifieerde sessies zelfs na de update blijven bestaan.

De ransomware-aanval op de Amerikaanse tak van het staatsbedrijf ICBC lijkt een publieke uiting van de exploitactiviteit. In een verklaring eerder deze week maakte de bank bekend dat ze op 8 november te maken had gehad met een ransomware-aanval die enkele van haar systemen ontwrichtte. De Financial Times en andere bronnen citeerden bronnen die hen informeerden over LockBit-ransomware-operators die achter de aanval zaten.

Beveiligingsonderzoeker Kevin Beaumont wees op een ongepatchte Citrix NetScaler bij ICBC box op 6 november als een potentiële aanvalsvector voor de LockBit-acteurs.

“Op het moment dat ik dit artikel schrijf, zijn meer dan 5,000 organisaties nog steeds niet gepatcht #CitrixBleed”, aldus Beaumont. “Het maakt het mogelijk om alle vormen van authenticatie volledig en eenvoudig te omzeilen en wordt uitgebuit door ransomwaregroepen. Het is net zo eenvoudig als het aanwijzen en klikken van je weg binnen organisaties – het geeft aanvallers een volledig interactieve Remote Desktop PC [aan] de andere kant.”

Er zijn aanvallen op regelrechte NetScaler-apparaten aangenomen massale uitbuiting stand van de afgelopen weken. Publiekelijk verkrijgbaar technische details van de fout heeft op zijn minst een deel van de activiteit aangewakkerd.

Een rapport van ReliaQuest gaf deze week aan dat er zeker vier dreigingsgroepen georganiseerd zijn richten zich momenteel op de fout. Eén van de groepen heeft de exploitatie van CitrixBleed geautomatiseerd. ReliaQuest rapporteerde tussen 7 en 9 november “meerdere unieke klantincidenten met Citrix Bleed-exploitatie” te hebben waargenomen.

“ReliaQuest heeft meerdere gevallen in klantomgevingen geïdentificeerd waarin bedreigingsactoren de Citrix Bleed-exploit hebben gebruikt”, aldus ReliaQuest. “Nadat ze de eerste toegang hadden gekregen, inventariseerden de tegenstanders snel de omgeving, waarbij de nadruk lag op snelheid boven stealth”, merkte het bedrijf op. Bij sommige incidenten hebben de aanvallers gegevens geëxfiltreerd en bij andere lijken ze te hebben geprobeerd ransomware in te zetten, aldus ReliaQuest.

Uit de laatste gegevens van internetverkeersanalysebedrijf GreyNoise blijkt dat er in ieder geval pogingen zijn gedaan om CitrixBleed te misbruiken 51 unieke IP-adressen – een daling ten opzichte van ongeveer 70 eind oktober.

CISA geeft richtlijnen uit over CitrixBleed

De exploitactiviteit heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om deze uit te geven frisse begeleiding en bronnen deze week over het aanpakken van de CitrixBleed-dreiging. CISA waarschuwde voor “actieve, gerichte exploitatie” van de bug door er bij organisaties op aan te dringen “onbeperkte apparaten bij te werken naar de bijgewerkte versies” die Citrix vorige maand uitbracht.

De kwetsbaarheid zelf is een bufferoverflowprobleem dat het vrijgeven van gevoelige informatie mogelijk maakt. Het is van invloed op lokale versies van NetScaler wanneer deze zijn geconfigureerd als Authentication, Authorization, and Accounting (AAA) of als een gateway-apparaat zoals een virtuele VPN-server of een ICA- of RDP-proxy.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw