Разрушительный атака программы-вымогателя на крупнейший банк мира на этой неделеПромышленно-коммерческий банк Китая (ICBC) КНР может быть связан с критической уязвимостью, которая Citrix раскрыла информацию о своей технологии NetScaler в прошлом месяце. Эта ситуация подчеркивает, почему организациям необходимо немедленно принять меры против этой угрозы, если они еще этого не сделали.
Так называемая уязвимость CitrixBleed (CVE-2023-4966) влияет на несколько локальных версий платформ доставки приложений Citrix NetScaler ADC и NetScaler Gateway.
Уязвимость имеет степень серьезности 9.4 из максимально возможных 10 по шкале CVSS 3.1 и дает злоумышленникам возможность украсть конфиденциальную информацию и перехватить сеансы пользователей. Citrix описала эту уязвимость как возможность удаленного использования, низкую сложность атаки, отсутствие специальных привилегий и отсутствие взаимодействия с пользователем.
Массовая эксплуатация CitrixBleed
Злоумышленники активно использовали эту уязвимость с августа — за несколько недель до того, как Citrix выпустила обновленные версии уязвимого программного обеспечения 10 октября. Исследователи из Mandiant, которые обнаружили уязвимость и сообщили о ней Citrix, также настоятельно рекомендовали организациям завершить все активные сеансы на каждом затронутом устройстве NetScaler из-за возможности сохранения аутентифицированных сеансов даже после обновления.
Атака программы-вымогателя на американское подразделение государственной компании ICBC, похоже, является одним из публичных проявлений деятельности эксплойтов. В заявление Ранее на этой неделе банк сообщил, что 8 ноября он подвергся атаке с использованием программы-вымогателя, которая нарушила работу некоторых его систем. Financial Times и другие СМИ сослались на источники, сообщившие им о том, что за атакой стоят операторы программы-вымогателя LockBit.
Исследователь безопасности Кевин Бомонт указал на непропатченный Citrix NetScaler на ICBC 6 ноября как один из потенциальных векторов атаки для участников LockBit.
«На момент написания этой статьи более 5,000 организаций все еще не установили исправления. #CitrixBleed— сказал Бомонт. «Он позволяет полностью и легко обойти все формы аутентификации и используется группами программ-вымогателей. Это так же просто, как указать и щелкнуть мышью внутри организации — это дает злоумышленникам полностью интерактивный удаленный рабочий стол на другом конце».
Предполагаются атаки на незащищенные устройства NetScaler. массовая эксплуатация статус за последние недели. Общедоступно Технические подробности Этот недостаток подпитывал по крайней мере некоторую активность.
В докладе ReliaQuest на этой неделе сообщила, что как минимум четыре организованные группы угроз в настоящее время нацелены на устранение недостатка. Одна из групп автоматизировала эксплуатацию CitrixBleed. ReliaQuest сообщила о наблюдении «множества уникальных инцидентов с клиентами, связанных с эксплуатацией Citrix Bleed» в период с 7 по 9 ноября.
«ReliaQuest выявила в клиентских средах несколько случаев, когда злоумышленники использовали эксплойт Citrix Bleed», — заявили в ReliaQuest. «Получив первоначальный доступ, злоумышленники быстро исследовали окружающую среду, уделяя особое внимание скорости, а не скрытности», — отметили в компании. По словам ReliaQuest, в некоторых случаях злоумышленники похищали данные, а в других они, судя по всему, пытались внедрить программу-вымогатель.
Последние данные компании по анализу интернет-трафика GreyNoise показывают попытки использовать CitrixBleed как минимум с 51 уникальный IP-адрес — по сравнению с примерно 70 в конце октября.
CISA выпускает рекомендации по CitrixBleed
Эксплойтная деятельность побудила Агентство кибербезопасности и безопасности инфраструктуры США (CISA) выпустить свежее руководство и ресурсы на этой неделе по борьбе с угрозой CitrixBleed. CISA предупредила об «активном, целенаправленном использовании» ошибки, призывая организации «обновить неповрежденные устройства до обновленных версий», выпущенных Citrix в прошлом месяце.
Сама уязвимость представляет собой проблему переполнения буфера, которая позволяет раскрыть конфиденциальную информацию. Это влияет на локальные версии NetScaler, если они настроены как аутентификация, авторизация и учет (AAA) или как устройство шлюза, такое как виртуальный сервер VPN или прокси-сервер ICA или RDP.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw
- :имеет
- :является
- 000
- 1
- 10
- 7
- 70
- 8
- 9
- a
- AAA
- О нас
- доступ
- Бухгалтерский учет
- активный
- активно
- деятельность
- актеры
- адресация
- пострадавших
- После
- против
- агентство
- Все
- позволяет
- уже
- причислены
- an
- анализ
- и
- и инфраструктура
- появиться
- появляется
- техника
- Применение
- МЫ
- ARM
- около
- AS
- предполагается,
- At
- атаковать
- попытка
- попытки
- Август
- подлинности
- Аутентификация
- разрешение
- Автоматизированный
- доступен
- Банка
- Банк Китая
- BE
- , так как:
- было
- до
- за
- не являетесь
- между
- Коробка
- буфер
- переполнение буфера
- Ошибка
- by
- случаев
- Китай
- коммерческая
- Коммерческий банк Китая (ICBC)
- Компания
- полный
- сложность
- настроить
- критической
- В настоящее время
- клиент
- Информационная безопасность
- данным
- поставка
- развертывание
- описано
- компьютера
- устройство
- Устройства
- раскрытие
- открытый
- нарушена
- подрывной
- сделанный
- вниз
- каждый
- Ранее
- легко
- позволяет
- конец
- Окружающая среда
- средах
- Даже
- опытные
- Эксплуатировать
- эксплуатация
- Эксплуатируемый
- эксплуатации
- Показывая
- Фирма
- недостаток
- Фокус
- Что касается
- формы
- 4
- от
- FT
- подпитывается
- полностью
- получила
- шлюз
- дает
- Группы
- руководство
- было
- Есть
- убежище
- имеющий
- основной момент
- похищать
- Удар
- HTTP
- HTTPS
- ICBC
- идентифицированный
- if
- немедленно
- in
- указанный
- промышленность
- информация
- Инфраструктура
- начальный
- внутри
- взаимодействие
- интерактивный
- Интернет
- с участием
- IP
- вопрос
- Выпущен
- вопросы
- IT
- ЕГО
- саму трезвость
- JPG
- всего
- крупнейших
- Фамилия
- Поздно
- наименее
- связанный
- Низкий
- максимальный
- Май..
- Месяц
- с разными
- Необходимость
- нет
- отметил,
- ноябрь
- окт
- октябрь
- of
- on
- ONE
- Операторы
- or
- организации
- Организованный
- Другое
- Другое
- внешний
- Магазины
- за
- Патчи
- PC
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- возможное
- потенциал
- КНР
- привилегии
- полномочие
- что такое варган?
- публично
- быстро
- вымогателей
- Атака вымогателей
- последний
- Управление по борьбе с наркотиками (DEA)
- выпустил
- удаленные
- удаленно
- отчету
- Сообщается
- исследователь
- исследователи
- Полезные ресурсы
- s
- Сказал
- Шкала
- Гол
- безопасность
- чувствительный
- сервер
- сессиях
- несколько
- Шоу
- просто
- с
- ситуация
- So
- Software
- некоторые
- Источники
- особый
- скорость
- в собственности государства
- Статус:
- Stealth
- По-прежнему
- сильно
- такие
- системы
- целевое
- направлены
- Технологии
- который
- Ассоциация
- мир
- Их
- они
- этой
- На этой неделе
- угроза
- актеры угрозы
- Связанный
- в
- трафик
- созданного
- несмягченный
- Обновление ПО
- обновление
- убеждая
- us
- используемый
- Информация о пользователе
- версии
- Виртуальный
- VPN
- уязвимость
- Путь..
- неделя
- Недели
- когда
- который
- КТО
- зачем
- Мир
- письмо
- ВАШЕ
- зефирнет