„CitrixBleed” este legat de lovitura de ransomware pe banca de stat a Chinei

Cel perturbator Atacul ransomware asupra celei mai mari bănci din lume în această săptămână, Banca Industrială și Comercială a Chinei (ICBC) din RPC, ar putea fi legată de o vulnerabilitate critică care Citrix a dezvăluit în tehnologia sa NetScaler luna trecută. Situația evidențiază de ce organizațiile trebuie să repare imediat amenințarea dacă nu au făcut-o deja.

Așa-numita vulnerabilitate „CitrixBleed” (CVE-2023-4966) afectează mai multe versiuni locale ale platformelor de livrare a aplicațiilor Citrix NetScaler ADC și NetScaler Gateway.

Vulnerabilitatea are un scor de severitate de 9.4 dintr-un maxim posibil de 10 pe scara CVSS 3.1 și oferă atacatorilor o modalitate de a fura informații sensibile și de a deturna sesiunile utilizatorilor. Citrix a descris defectul ca fiind exploatabil de la distanță și implicând o complexitate scăzută a atacului, fără privilegii speciale și fără interacțiune cu utilizatorul.

Exploatarea în masă a CitrixBleed

Actorii amenințărilor exploatează în mod activ defectul din august - cu câteva săptămâni înainte ca Citrix să lanseze versiuni actualizate ale software-ului afectat pe 10 octombrie. Cercetătorii de la Mandiant care au descoperit și raportat defectul lui Citrix au recomandat, de asemenea, ferm organizațiilor. termina toate sesiunile active pe fiecare dispozitiv NetScaler afectat din cauza potențialului ca sesiunile autentificate să persistă chiar și după actualizare.

Atacul ransomware asupra braței americane a ICBC, deținută de stat, pare a fi o manifestare publică a activității de exploatare. Într-o declaraţie la începutul acestei săptămâni, banca a dezvăluit că a suferit un atac ransomware pe 8 noiembrie, care a perturbat unele dintre sistemele sale. The Financial Times și alte puncte de vânzare au citat surse care le-au informat despre operatorii de ransomware LockBit ca fiind în spatele atacului.

Cercetator de securitate Kevin Beaumont a arătat către un Citrix NetScaler nepatchat de la ICBC caseta pe 6 noiembrie ca un potențial vector de atac pentru actorii LockBit.

„În momentul scrierii acestui articol, peste 5,000 de organizații încă nu s-au corectat #CitrixBleed”, a spus Beaumont. „Permite ocolirea completă și ușoară a tuturor formelor de autentificare și este exploatat de grupurile de ransomware. Este la fel de simplu ca să vă îndreptați și să faceți clic în interiorul organizațiilor – le oferă atacatorilor un PC cu desktop la distanță complet interactiv [la] celălalt capăt.”

Au presupus atacuri asupra dispozitivelor NetScaler neatenuate exploatare în masă starea în ultimele săptămâni. La dispozitia publicului detalii tehnice a defectului a alimentat cel puțin o parte din activitate.

Un raport de la ReliaQuest în această săptămână a indicat că cel puțin patru grupuri de amenințări organizate în prezent vizează defectul. Unul dintre grupuri a exploatat automat CitrixBleed. ReliaQuest a raportat că a observat „mai multe incidente unice ale clienților cu exploatarea Citrix Bleed” chiar între 7 noiembrie și 9 noiembrie.

„ReliaQuest a identificat mai multe cazuri în mediile clienților în care actorii amenințărilor au folosit exploit-ul Citrix Bleed”, a spus ReliaQuest. „După ce au obținut accesul inițial, adversarii au enumerat rapid mediul înconjurător, concentrându-se pe viteză în detrimentul stealth”, a menționat compania. În unele incidente, atacatorii au exfiltrat date, iar în altele par să fi încercat să implementeze ransomware, a spus ReliaQuest.

Cele mai recente date de la firma de analiză a traficului de internet GreyNoise arată încercări de a exploata CitrixBleed cel puțin 51 de adrese IP unice — în scădere de la aproximativ 70 la sfârșitul lunii octombrie.

CISA emite orientări privind CitrixBleed

Activitatea de exploatare a determinat Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) să emită îndrumări proaspete și resurse săptămâna aceasta pentru abordarea amenințării CitrixBleed. CISA a avertizat despre „exploatarea activă, direcționată” a bug-ului, îndemnând organizațiile să „actualizeze dispozitivele neatenuate la versiunile actualizate” pe care Citrix le-a lansat luna trecută.

Vulnerabilitatea în sine este o problemă de depășire a tamponului care permite dezvăluirea informațiilor sensibile. Afectează versiunile locale ale NetScaler atunci când sunt configurate ca un autentificare, autorizare și contabilitate (AAA) sau ca un dispozitiv gateway, cum ar fi un server virtual VPN sau un proxy ICA sau RDP.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw