„CitrixBleed” powiązany z ransomware atakującym chiński bank państwowy

Zakłócający atak ransomware na największy bank świata w tym tygodniu, ChRL, Industrial and Commercial Bank of China (ICBC), może być powiązany z krytyczną luką, która W zeszłym miesiącu Citrix zaprezentował technologię NetScaler. Sytuacja ta pokazuje, dlaczego organizacje muszą natychmiast załatać zagrożenie, jeśli jeszcze tego nie zrobiły.

Tak zwana luka „CitrixBleed” (CVE-2023-4966) wpływa na wiele lokalnych wersji platform dostarczania aplikacji Citrix NetScaler ADC i NetScaler Gateway.

Luka ma poziom istotności 9.4 z możliwych 10 w skali CVSS 3.1 i umożliwia atakującym kradzież poufnych informacji i przejmowanie sesji użytkowników. Citrix opisał tę lukę jako możliwą do zdalnego wykorzystania i obejmującą niewielką złożoność ataku, brak specjalnych przywilejów i brak interakcji z użytkownikiem.

Masowa eksploatacja CitrixBleed

Ugrupowania zagrażające aktywnie wykorzystują tę lukę od sierpnia — kilka tygodni przed wydaniem przez Citrix 10 października zaktualizowanych wersji oprogramowania, którego dotyczy luka. Badacze z Mandiant, którzy odkryli lukę i zgłosili ją firmie Citrix, również zdecydowanie zalecali, aby organizacje zakończ wszystkie aktywne sesje na każdym urządzeniu NetScaler, którego dotyczy problem, ze względu na możliwość utrzymywania się uwierzytelnionych sesji nawet po aktualizacji.

Atak oprogramowania typu ransomware na amerykański oddział państwowego ICBC wydaje się być jednym z publicznych przejawów działalności związanej z exploitami. W oświadczenie na początku tygodnia bank ujawnił, że 8 listopada doświadczył ataku oprogramowania typu ransomware, który zakłócił działanie niektórych jego systemów. The Financial Times a inne agencje cytowały źródła informujące je o tym, że za atakiem stoją operatorzy oprogramowania ransomware LockBit.

Badacz bezpieczeństwa Kevin Beaumont wskazał na niezałatany Citrix NetScaler w ICBC box 6 listopada jako jeden z potencjalnych wektorów ataku dla aktorów LockBit.

„W chwili pisania tego tekstu ponad 5,000 organizacji nadal nie wprowadziło poprawek #CitrixBleed– stwierdził Beaumont. „Pozwala na całkowite i łatwe ominięcie wszelkich form uwierzytelniania i jest wykorzystywany przez grupy oprogramowania ransomware. Jest to tak proste, jak wskazywanie i klikanie wewnątrz organizacji — zapewnia atakującym w pełni interaktywny komputer stacjonarny zdalny po drugiej stronie”.

Zakładano ataki na niezłagodzone urządzenia NetScaler masowa eksploatacja stan w ostatnich tygodniach. Publicznie dostępne szczegóły techniczne wady pobudził przynajmniej część aktywności.

Sprawozdanie z ReliaQuest w tym tygodniu wskazał, że istnieją co najmniej cztery zorganizowane grupy zagrożeń obecnie celują w tę usterkę. Jedna z grup zautomatyzowała wykorzystanie CitrixBleed. Firma ReliaQuest zgłosiła obserwację „wielu unikalnych incydentów klientów związanych z wykorzystaniem Citrix Bleed” pomiędzy 7 a 9 listopada.

„ReliaQuest zidentyfikowała wiele przypadków w środowiskach klientów, w których ugrupowania zagrażające wykorzystały exploit Citrix Bleed” – powiedział ReliaQuest. „Po uzyskaniu wstępnego dostępu przeciwnicy szybko przeliczyli środowisko, koncentrując się na szybkości, a nie ukryciu” – zauważyła firma. W niektórych przypadkach napastnicy wydobywali dane, a w innych wyglądało na to, że próbowali wdrożyć oprogramowanie ransomware – stwierdziła ReliaQuest.

Najnowsze dane firmy GreyNoise zajmującej się analizą ruchu internetowego wskazują na próby wykorzystania przynajmniej CitrixBleed 51 unikalnych adresów IP — spadek z około 70 pod koniec października.

CISA wydaje wytyczne dotyczące CitrixBleed

Działalność exploitów skłoniła amerykańską Agencję ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) do wydania ataku świeże wskazówki i zasoby w tym tygodniu dotyczące radzenia sobie z zagrożeniem CitrixBleed. CISA ostrzegła przed „aktywnym, ukierunkowanym wykorzystaniem” błędu, wzywając organizacje do „aktualizowania urządzeń bez ograniczeń do zaktualizowanych wersji”, które Citrix wydał w zeszłym miesiącu.

Luka sama w sobie polega na przepełnieniu bufora, co umożliwia ujawnienie poufnych informacji. Wpływa na lokalne wersje NetScaler skonfigurowane jako uwierzytelnianie, autoryzacja i księgowanie (AAA) lub jako urządzenie bramy, takie jak wirtualny serwer VPN lub serwer proxy ICA lub RDP.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw