Det forstyrrende løsepengeangrep på verdens største bank denne uken, Kinas Industrial and Commercial Bank of China (ICBC), kan være knyttet til en kritisk sårbarhet som Citrix avslørte i sin NetScaler-teknologi forrige måned. Situasjonen fremhever hvorfor organisasjoner umiddelbart må lappe mot trusselen hvis de ikke allerede har gjort det.
Den såkalte "CitrixBleed"-sårbarheten (CVE-2023-4966) påvirker flere lokale versjoner av Citrix NetScaler ADC og NetScaler Gateway applikasjonsleveringsplattformer.
Sårbarheten har en alvorlighetsgrad på 9.4 av maksimalt mulig 10 på CVSS 3.1-skalaen, og gir angripere en måte å stjele sensitiv informasjon og kapre brukerøkter. Citrix har beskrevet feilen som fjernutnyttbar og involverer lav angrepskompleksitet, ingen spesielle privilegier og ingen brukerinteraksjon.
Masse CitrixBleed-utnyttelse
Trusselaktører har aktivt utnyttet feilen siden august - flere uker før Citrix ga ut oppdaterte versjoner av berørt programvare 10. oktober. Forskere ved Mandiant som oppdaget og rapporterte feilen til Citrix har også sterkt anbefalt at organisasjoner avslutte alle aktive økter på hver berørte NetScaler-enhet på grunn av potensialet for at autentiserte økter kan vedvare selv etter oppdateringen.
Ransomware-angrepet på den amerikanske armen til det statseide ICBC ser ut til å være en offentlig manifestasjon av utnyttelsesaktiviteten. I en uttalelse tidligere denne uken avslørte banken at den hadde opplevd et løsepenge-angrep 8. november som forstyrret noen av systemene. De Financial Times og andre utsalgssteder siterte kilder som informerte dem om LockBit løsepengevareoperatører som står bak angrepet.
Sikkerhetsforsker Kevin Beaumont pekte på en uoppdatert Citrix NetScaler på ICBC boks den 6. november som en potensiell angrepsvektor for LockBit-skuespillerne.
«Når jeg skrev denne oppgaven, har over 5,000 organisasjoner fortsatt ikke lappet #CitrixBleed", sa Beaumont. "Den tillater fullstendig, enkel omgåelse av alle former for autentisering og blir utnyttet av løsepengevaregrupper. Det er så enkelt som å peke og klikke deg inn i organisasjoner – det gir angripere en fullstendig interaktiv Remote Desktop PC [i] den andre enden."
Angrep på ubegrensede NetScaler-enheter har antatt masseutnyttelse status de siste ukene. Offentlig tilgjengelig tekniske detaljer av feilen har gitt næring til i det minste noe av aktiviteten.
En rapport fra ReliaQuest denne uken indikerte at minst fire organiserte trusselgrupper er for tiden rettet mot feilen. En av gruppene har automatisert utnyttelse av CitrixBleed. ReliaQuest rapporterte å observere "flere unike kundehendelser med Citrix Bleed-utnyttelse" bare mellom 7. november og 9. november.
"ReliaQuest har identifisert flere tilfeller i kundemiljøer der trusselaktører har brukt Citrix Bleed-utnyttelsen," sa ReliaQuest. "Etter å ha fått innledende tilgang, talte motstanderne raskt opp miljøet, med fokus på hastighet fremfor sniking," bemerket selskapet. I noen hendelser eksfiltrerte angriperne data, og i andre ser de ut til å ha forsøkt å distribuere løsepengevare, sa ReliaQuest.
Siste data fra Internett-trafikkanalysefirmaet GreyNoise viser forsøk på å utnytte CitrixBleed fra minst 51 unike IP-adresser — ned fra rundt 70 i slutten av oktober.
CISA utsteder veiledning om CitrixBleed
Utnyttelsesaktiviteten har fått US Cybersecurity and Infrastructure Security Agency (CISA) til å utstede fersk veiledning og ressurser denne uken for å håndtere CitrixBleed-trusselen. CISA advarte om "aktiv, målrettet utnyttelse" av feilen og oppfordret organisasjoner til å "oppdatere ubegrensede apparater til de oppdaterte versjonene" som Citrix ga ut forrige måned.
Selve sårbarheten er et bufferoverløpsproblem som muliggjør avsløring av sensitiv informasjon. Den påvirker lokale versjoner av NetScaler når den er konfigurert som en autentisering, autorisasjon og regnskap (AAA) eller som en gatewayenhet som en virtuell VPN-server eller en ICA- eller RDP-proxy.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw
- : har
- :er
- 000
- 1
- 10
- 7
- 70
- 8
- 9
- a
- AAA
- Om oss
- adgang
- Regnskap og administrasjon
- aktiv
- aktivt
- aktivitet
- aktører
- adressering
- påvirkes
- Etter
- mot
- byrå
- Alle
- tillater
- allerede
- også
- an
- analyse
- og
- og infrastruktur
- vises
- vises
- hvitevarer
- Søknad
- ER
- ARM
- rundt
- AS
- antatt
- At
- angripe
- forsøkt
- forsøk
- August
- autentisert
- Autentisering
- autorisasjon
- Automatisert
- tilgjengelig
- Bank
- den kinesiske bank
- BE
- fordi
- vært
- før du
- bak
- være
- mellom
- Eske
- buffer
- bufferoverløp
- Bug
- by
- saker
- Kina
- kommersiell
- Commercial Bank of China (ICBC)
- Selskapet
- fullføre
- kompleksitet
- konfigurert
- kritisk
- I dag
- kunde
- Cybersecurity
- dato
- levering
- utplassere
- beskrevet
- desktop
- enhet
- Enheter
- avsløring
- oppdaget
- forstyrret
- forstyrrende
- gjort
- ned
- hver enkelt
- Tidligere
- lett
- muliggjør
- slutt
- Miljø
- miljøer
- Selv
- erfaren
- Exploit
- utnytting
- Exploited
- utnytte
- Featuring
- Firm
- feil
- Fokus
- Til
- skjemaer
- fire
- fra
- FT
- drevet
- fullt
- fikk
- gateway
- gir
- Gruppens
- veiledning
- HAD
- Ha
- haven
- å ha
- striper
- kapre
- hit
- http
- HTTPS
- ICBC
- identifisert
- if
- umiddelbart
- in
- indikert
- industriell
- informasjon
- Infrastruktur
- innledende
- innsiden
- interaksjon
- interaktiv
- Internet
- involverer
- IP
- utstedelse
- Utstedt
- saker
- IT
- DET ER
- selv
- jpg
- bare
- største
- Siste
- Late
- minst
- knyttet
- Lav
- maksimal
- Kan..
- Måned
- flere
- Trenger
- Nei.
- bemerket
- november
- oktober
- oktober
- of
- on
- ONE
- operatører
- or
- organisasjoner
- Organisert
- Annen
- andre
- ut
- Utsalgssteder
- enn
- patch
- PC
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- mulig
- potensiell
- PRC
- privilegier
- proxy
- offentlig
- offentlig
- raskt
- ransomware
- Ransomware -angrep
- nylig
- anbefales
- utgitt
- fjernkontroll
- eksternt
- rapporterer
- rapportert
- forsker
- forskere
- Ressurser
- s
- Sa
- Skala
- Resultat
- sikkerhet
- sensitive
- server
- sesjoner
- flere
- Viser
- Enkelt
- siden
- situasjon
- So
- Software
- noen
- Kilder
- spesiell
- fart
- statseid
- status
- Stealth
- Still
- sterk
- slik
- Systemer
- målrettet
- rettet mot
- Teknologi
- Det
- De
- verden
- Dem
- de
- denne
- denne uka
- trussel
- trusselaktører
- Tied
- til
- trafikk
- unik
- ubegrenset
- Oppdater
- oppdatert
- oppfordret
- us
- brukt
- Bruker
- versjoner
- virtuelle
- VPN
- sårbarhet
- Vei..
- uke
- uker
- når
- hvilken
- HVEM
- hvorfor
- med
- verden
- skriving
- Din
- zephyrnet
