O disruptivo ataque de ransomware ao maior banco do mundo esta semana, o Banco Industrial e Comercial da China (ICBC) da RPC, pode estar ligado a uma vulnerabilidade crítica que A Citrix divulgou sua tecnologia NetScaler no mês passado. A situação destaca por que as organizações precisam corrigir imediatamente a ameaça, caso ainda não o tenham feito.
A chamada vulnerabilidade “CitrixBleed” (CVE-2023-4966) afeta diversas versões locais das plataformas de entrega de aplicativos Citrix NetScaler ADC e NetScaler Gateway.
A vulnerabilidade tem uma pontuação de gravidade de 9.4 de um máximo possível de 10 na escala CVSS 3.1 e oferece aos invasores uma maneira de roubar informações confidenciais e sequestrar sessões de usuários. A Citrix descreveu a falha como explorável remotamente e envolvendo baixa complexidade de ataque, sem privilégios especiais e sem interação do usuário.
Exploração em massa do CitrixBleed
Os atores da ameaça têm explorado ativamente a falha desde agosto – várias semanas antes da Citrix lançar versões atualizadas do software afetado em 10 de outubro. Os pesquisadores da Mandiant que descobriram e relataram a falha à Citrix também recomendaram fortemente que as organizações encerrar todas as sessões ativas em cada dispositivo NetScaler afetado devido ao potencial de persistirem sessões autenticadas mesmo após a atualização.
O ataque de ransomware ao braço americano do ICBC estatal parece ser uma manifestação pública da atividade de exploração. Em um afirmação no início desta semana, o banco divulgou que havia sofrido um ataque de ransomware em 8 de novembro que interrompeu alguns de seus sistemas. O Financial Times e outros meios de comunicação citaram fontes informando-os sobre os operadores de ransomware LockBit como estando por trás do ataque.
Pesquisador de segurança Kevin Beaumont apontou para um Citrix NetScaler sem patch no ICBC caixa em 6 de novembro como um vetor de ataque potencial para os atores do LockBit.
“No momento em que escrevo este artigo, mais de 5,000 organizações ainda não corrigiram #CitrixBleed”, disse Beaumont. “Ele permite ignorar de forma fácil e completa todas as formas de autenticação e está sendo explorado por grupos de ransomware. É tão simples quanto apontar e clicar dentro das organizações – isso oferece aos invasores um PC de área de trabalho remota totalmente interativo [no] outro lado.”
Os ataques a dispositivos NetScaler não mitigados assumiram exploração em massa situação nas últimas semanas. Disponível publicamente detalhes técnicos da falha alimentou pelo menos parte da atividade.
Um relatório da A ReliaQuest indicou esta semana que pelo menos quatro grupos de ameaças organizadas estão atualmente visando a falha. Um dos grupos automatizou a exploração do CitrixBleed. A ReliaQuest relatou ter observado “vários incidentes exclusivos de clientes com exploração do Citrix Bleed” apenas entre 7 e 9 de novembro.
“A ReliaQuest identificou vários casos em ambientes de clientes nos quais os agentes de ameaças usaram a exploração Citrix Bleed”, disse ReliaQuest. “Tendo obtido acesso inicial, os adversários rapidamente enumeraram o ambiente, com foco na velocidade em vez da furtividade”, observou a empresa. Em alguns incidentes, os invasores exfiltraram dados e em outros parecem ter tentado implantar ransomware, disse ReliaQuest.
Os dados mais recentes da empresa de análise de tráfego de Internet GreyNoise mostram tentativas de explorar o CitrixBleed de pelo menos 51 endereços IP exclusivos – abaixo dos cerca de 70 no final de outubro.
CISA emite orientação sobre CitrixBleed
A atividade de exploração levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a emitir nova orientação e recursos esta semana sobre como lidar com a ameaça CitrixBleed. A CISA alertou sobre a “exploração ativa e direcionada” do bug ao instar as organizações a “atualizarem os dispositivos não mitigados para as versões atualizadas” que a Citrix lançou no mês passado.
A vulnerabilidade em si é um problema de buffer overflow que permite a divulgação de informações confidenciais. Afeta versões locais do NetScaler quando configurado como autenticação, autorização e contabilidade (AAA) ou como um dispositivo de gateway, como um servidor virtual VPN ou um proxy ICA ou RDP.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw
- :tem
- :é
- 000
- 1
- 10
- 7
- 70
- 8
- 9
- a
- AAA
- Sobre
- Acesso
- Contabilidade
- ativo
- ativamente
- atividade
- atores
- endereçando
- afetado
- Depois de
- contra
- agência
- Todos os Produtos
- permite
- já
- tb
- an
- análise
- e
- e infra-estrutura
- aparecer
- aparece
- aparelhos
- Aplicação
- SOMOS
- ARM
- por aí
- AS
- assumiu
- At
- ataque
- tentada
- Tentativas
- AGOSTO
- autenticado
- Autenticação
- autorização
- Automatizado
- disponível
- Bank
- Banco da China
- BE
- Porque
- sido
- antes
- atrás
- ser
- entre
- Caixa
- amortecer
- estouro de buffer
- Bug
- by
- casos
- China
- comercial
- Banco Comercial da China (ICBC)
- Empresa
- completar
- complexidade
- configurado
- crítico
- Atualmente
- cliente
- Cíber segurança
- dados,
- Entrega
- implantar
- descrito
- área de trabalho
- dispositivo
- Dispositivos/Instrumentos
- divulgação
- descoberto
- perturbado
- disruptivo
- feito
- down
- cada
- Mais cedo
- fácil
- permite
- final
- Meio Ambiente
- ambientes
- Mesmo
- experiente
- Explorar
- exploração
- exploradas
- explorando
- Apresentando
- Empresa
- falha
- Foco
- Escolha
- formas
- quatro
- da
- FT
- alimentaram
- totalmente
- ganhou
- porta de entrada
- dá
- Do grupo
- orientações
- tinha
- Ter
- refúgio
- ter
- destaques
- hijack
- Acertar
- http
- HTTPS
- ICBC
- identificado
- if
- imediatamente
- in
- indicado
- industrial
- INFORMAÇÕES
- Infraestrutura
- do estado inicial,
- dentro
- interação
- interativo
- Internet
- envolvendo
- IP
- emitem
- Emitido
- questões
- IT
- ESTÁ
- se
- jpg
- apenas por
- maior
- Sobrenome
- Atrasado
- mínimo
- ligado
- Baixo
- máximo
- Posso..
- Mês
- múltiplo
- você merece...
- não
- notado
- novembro
- Out
- Outubro
- of
- on
- ONE
- operadores
- or
- organizações
- Organizado
- Outros
- Outros
- Fora
- Outlets
- Acima de
- Remendo
- PC
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- possível
- potencial
- RPC
- privilégios
- procuração
- público
- publicamente
- rapidamente
- ransomware
- Ataque de Ransomware
- recentemente
- Recomenda
- liberado
- remoto
- remotamente
- Denunciar
- Informou
- investigador
- pesquisadores
- Recursos
- s
- Dito
- Escala
- Ponto
- segurança
- sensível
- servidor
- sessões
- vários
- Shows
- simples
- desde
- situação
- So
- Software
- alguns
- Fontes
- especial
- velocidade
- propriedade estatal
- Status
- Stealth
- Ainda
- discordaram
- tal
- sistemas
- visadas
- alvejando
- Tecnologia
- que
- A
- o mundo
- Eles
- deles
- isto
- esta semana
- ameaça
- atores de ameaças
- Amarrado
- para
- tráfego
- único
- absoluto
- Atualizar
- Atualizada
- instando
- us
- usava
- Utilizador
- versões
- Virtual
- VPN
- vulnerabilidade
- Caminho..
- semana
- semanas
- quando
- qual
- QUEM
- porque
- de
- mundo
- escrita
- investimentos
- zefirnet
