Moteče ta teden napad z izsiljevalsko programsko opremo na največjo banko na svetu, kitajska industrijska in komercialna banka (ICBC), je lahko povezana s kritično ranljivostjo, ki Citrix je prejšnji mesec razkril v svoji tehnologiji NetScaler. Situacija poudarja, zakaj morajo organizacije takoj popraviti grožnjo, če tega še niso storile.
Tako imenovana ranljivost »CitrixBleed« (CVE-2023-4966) vpliva na več krajevnih različic platform za dostavo aplikacij Citrix NetScaler ADC in NetScaler Gateway.
Ranljivost ima oceno resnosti 9.4 od največ možnih 10 na lestvici CVSS 3.1 in napadalcem omogoča krajo občutljivih informacij in ugrabitev uporabniških sej. Citrix je napako opisal kot oddaljeno izkoriščljivo in vključuje nizko kompleksnost napada, brez posebnih privilegijev in brez interakcije uporabnika.
Množično izkoriščanje CitrixBleed
Akterji groženj dejavno izkoriščajo napako od avgusta – nekaj tednov preden je Citrix 10. oktobra izdal posodobljene različice prizadete programske opreme. Raziskovalci pri Mandiantu, ki so odkrili napako in jo prijavili Citrixu, so tudi močno priporočili organizacijam prekine vse aktivne seje na vsaki prizadeti napravi NetScaler zaradi možnosti, da se preverjene seje obdržijo tudi po posodobitvi.
Zdi se, da je napad z izsiljevalsko programsko opremo na ameriško podružnico državnega podjetja ICBC ena javna manifestacija dejavnosti izkoriščanja. V Izjava v začetku tega tedna je banka razkrila, da je 8. novembra doživela napad izsiljevalske programske opreme, ki je motil nekatere njene sisteme. The Financial Times in drugi mediji so citirali vire, ki so jih obvestili, da za napadom stojijo operaterji izsiljevalske programske opreme LockBit.
Varnostni raziskovalec Kevin Beaumont je opozoril na nepopravljeni Citrix NetScaler na ICBC polje 6. novembra kot en potencialni vektor napada za akterje LockBit.
»V času pisanja tega govora več kot 5,000 organizacij še vedno ni bilo zakrpanih #CitrixBleed,« je dejal Beaumont. »Omogoča popoln, enostaven obhod vseh oblik avtentikacije in ga izkoriščajo skupine izsiljevalskih programov. To je tako preprosto kot kazanje in klikanje po vaši poti znotraj orgov - napadalcem daje popolnoma interaktiven oddaljeni namizni računalnik [na] drugi strani.«
Napadi na neoblažene naprave NetScaler so predvideni množično izkoriščanje stanje v zadnjih tednih. Javno dostopen tehnične podrobnosti napake je spodbudila vsaj del dejavnosti.
Poročilo iz ReliaQuest je ta teden nakazal, da so organizirane najmanj štiri skupine groženj trenutno ciljajo na napako. Ena od skupin ima avtomatizirano izkoriščanje CitrixBleed. ReliaQuest je poročal, da je med 7. in 9. novembrom opazil "več edinstvenih uporabniških incidentov z izkoriščanjem Citrix Bleed".
"ReliaQuest je identificiral več primerov v uporabniških okoljih, v katerih so akterji groženj uporabili izkoriščanje Citrix Bleed," je dejal ReliaQuest. "Po pridobitvi začetnega dostopa so nasprotniki hitro popisali okolje, s poudarkom na hitrosti namesto prikritosti," so zapisali v podjetju. V nekaterih incidentih so napadalci izbruhnili podatke, v drugih pa se zdi, da so poskušali namestiti izsiljevalsko programsko opremo, je dejal ReliaQuest.
Najnovejši podatki družbe za analizo internetnega prometa GreyNoise kažejo poskuse izkoriščanja CitrixBleed vsaj iz 51 edinstvenih naslovov IP — zmanjšanje s približno 70 konec oktobra.
CISA izda smernice za CitrixBleed
Dejavnost izkoriščanja je ameriško agencijo za kibernetsko varnost in varnost infrastrukture (CISA) spodbudila k izdaji sveže napotke in vire ta teden o obravnavi grožnje CitrixBleed. CISA je opozorila na "aktivno, ciljno izkoriščanje" hrošča, ko je pozvala organizacije, naj "posodobijo neomejene naprave na posodobljene različice", ki jih je Citrix izdal prejšnji mesec.
Sama ranljivost je težava s prekoračitvijo medpomnilnika, ki omogoča razkritje občutljivih informacij. Vpliva na lokalne različice NetScalerja, ko je konfiguriran kot Authentication, Authorization, and Accounting (AAA) ali kot prehodna naprava, kot je virtualni strežnik VPN ali ICA ali RDP proxy.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw
- :ima
- : je
- 000
- 1
- 10
- 7
- 70
- 8
- 9
- a
- AAA
- O meni
- dostop
- računovodstvo
- aktivna
- aktivno
- dejavnost
- akterji
- naslavljanje
- vplivajo
- po
- proti
- agencija
- vsi
- omogoča
- že
- Prav tako
- an
- Analiza
- in
- in infrastrukturo
- zdi
- se prikaže
- aparati
- uporaba
- SE
- ARM
- okoli
- AS
- domnevajo
- At
- napad
- poskus
- Poskusi
- Avgust
- overjena
- Preverjanje pristnosti
- pooblastilo
- Avtomatizirano
- Na voljo
- Banka
- Bank of China
- BE
- ker
- bilo
- pred
- zadaj
- počutje
- med
- Pasovi
- varovalni
- prelivanje medpomnilnika
- Bug
- by
- primeri
- Kitajska
- komercialna
- Commercial Bank of China (ICBC)
- podjetje
- dokončanje
- kompleksnost
- konfigurirano
- kritično
- Trenutno
- stranka
- Cybersecurity
- datum
- dostava
- razporedi
- opisano
- desktop
- naprava
- naprave
- razkritje
- odkril
- moten
- moteče
- opravljeno
- navzdol
- vsak
- prej
- lahka
- omogoča
- konec
- okolje
- okolja
- Tudi
- izkušen
- Izkoristite
- izkoriščanje
- Exploited
- izkoriščanje
- Featuring
- Firm
- napaka
- Osredotočite
- za
- Obrazci
- štiri
- iz
- FT
- gorivo
- v celoti
- pridobljeno
- Prehod
- daje
- Skupine
- Navodila
- imel
- Imajo
- pristanišče
- ob
- Poudarki
- ugrabitvijo
- hit
- http
- HTTPS
- ICBC
- identificirati
- if
- takoj
- in
- naveden
- industrijske
- Podatki
- Infrastruktura
- začetna
- v notranjosti
- interakcije
- interaktivno
- Internet
- vključujejo
- IP
- vprašanje
- Izdala
- Vprašanja
- IT
- ITS
- sam
- jpg
- samo
- Največji
- Zadnja
- Pozen
- vsaj
- povezane
- nizka
- največja
- Maj ..
- mesec
- več
- Nimate
- št
- opozoriti
- november
- oktober
- oktober
- of
- on
- ONE
- operaterji
- or
- organizacije
- Organizirano
- Ostalo
- drugi
- ven
- Prodajalne
- več
- Patch
- PC
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- mogoče
- potencial
- PRC
- privilegiji
- proxy
- javnega
- javno
- hitro
- izsiljevalska
- Napad izsiljevalske programske opreme
- nedavno
- priporočeno
- sprosti
- daljinsko
- daljavo
- poročilo
- Prijavljeno
- raziskovalec
- raziskovalci
- viri
- s
- Je dejal
- Lestvica
- rezultat
- varnost
- občutljiva
- strežnik
- sej
- več
- Razstave
- Enostavno
- saj
- Razmere
- So
- Software
- nekaj
- Viri
- posebna
- hitrost
- V državni lasti
- Status
- Stealth
- Še vedno
- Močno
- taka
- sistemi
- ciljno
- ciljanje
- Tehnologija
- da
- O
- svet
- Njih
- jih
- ta
- ta teden
- Grožnja
- akterji groženj
- vezana
- do
- Prometa
- edinstven
- neublažen
- Nadgradnja
- posodobljeno
- poziva
- us
- Rabljeni
- uporabnik
- različice
- Virtual
- VPN
- ranljivost
- način..
- teden
- Weeks
- kdaj
- ki
- WHO
- zakaj
- z
- svet
- pisanje
- Vaša rutina za
- zefirnet
