"CitrixBleed" kopplad till Ransomware Hit på Kinas statsägda bank

Det störande ransomware attack mot världens största bank denna vecka, Kinas Industrial and Commercial Bank of China (ICBC), kan vara knuten till en kritisk sårbarhet som Citrix avslöjade i sin NetScaler-teknik förra månaden. Situationen visar varför organisationer omedelbart behöver lappa mot hotet om de inte redan har gjort det.

Den så kallade "CitrixBleed" sårbarheten (CVE-2023-4966) påverkar flera lokala versioner av Citrix NetScaler ADC och NetScaler Gateway-applikationsleveransplattformar.

Sårbarheten har en allvarlighetsgrad på 9.4 av maximalt 10 på CVSS 3.1-skalan och ger angripare ett sätt att stjäla känslig information och kapa användarsessioner. Citrix har beskrivit bristen som fjärrexploaterbar och involverar låg attackkomplexitet, inga speciella privilegier och ingen användarinteraktion.

Mass CitrixBleed Exploatering

Hotaktörer har aktivt utnyttjat bristen sedan augusti - flera veckor innan Citrix publicerade uppdaterade versioner av påverkad programvara den 10 oktober. Forskare vid Mandiant som upptäckte och rapporterade felet till Citrix har också starkt rekommenderat att organisationer avsluta alla aktiva sessioner på varje påverkad NetScaler-enhet på grund av risken för att autentiserade sessioner kvarstår även efter uppdateringen.

Ransomware-attacken mot den amerikanska armen av det statligt ägda ICBC verkar vara en offentlig manifestation av exploateringsaktiviteten. I en meddelandet tidigare i veckan avslöjade banken att den hade upplevt en ransomware-attack den 8 november som störde några av dess system. De Financial Times och andra butiker citerade källor som informerade dem om LockBit ransomware-operatörer som låg bakom attacken.

Säkerhetsforskare Kevin Beaumont pekade på en oparpad Citrix NetScaler på ICBC box den 6 november som en potentiell attackvektor för LockBit-skådespelarna.

"När jag skrev detta har över 5,000 XNUMX organisationer fortfarande inte patchat #CitrixBleed", sa Beaumont. "Det tillåter fullständig, enkel förbikoppling av alla former av autentisering och utnyttjas av ransomware-grupper. Det är lika enkelt som att peka och klicka dig in i organisationer – det ger angripare en helt interaktiv Remote Desktop PC [i] andra änden."

Attacker på oförmögna NetScaler-enheter har antagit massexploatering status de senaste veckorna. Allmänt tillgänglig tekniska detaljer av bristen har underblåst åtminstone en del av aktiviteten.

En rapport från ReliaQuest denna vecka indikerade att minst fyra organiserade hotgrupper riktar sig för närvarande mot felet. En av grupperna har automatiserat utnyttjande av CitrixBleed. ReliaQuest rapporterade att ha observerat "flera unika kundincidenter med Citrix Bleed-exploatering" bara mellan 7 och 9 november.

"ReliaQuest har identifierat flera fall i kundmiljöer där hotaktörer har använt Citrix Bleed-utnyttjandet," sa ReliaQuest. "Efter att ha fått första tillgång, räknade motståndarna snabbt upp miljön, med fokus på hastighet framför smyg," noterade företaget. I vissa incidenter exfiltrerade angriparna data och i andra verkar de ha försökt distribuera ransomware, sa ReliaQuest.

Senaste data från internettrafikanalysföretaget GreyNoise visar försök att utnyttja CitrixBleed från åtminstone 51 unika IP-adresser — ned från cirka 70 i slutet av oktober.

CISA utfärdar vägledning om CitrixBleed

Exploateringsaktiviteten har fått US Cybersecurity and Infrastructure Security Agency (CISA) att utfärda ny vägledning och resurser denna vecka för att ta itu med CitrixBleed-hotet. CISA varnade för "aktivt, riktat utnyttjande" av buggen och uppmanade organisationer att "uppdatera oförhindrade apparater till de uppdaterade versionerna" som Citrix släppte förra månaden.

Sårbarheten i sig är ett problem med buffertspill som möjliggör avslöjande av känslig information. Det påverkar lokala versioner av NetScaler när det konfigureras som en autentisering, auktorisering och redovisning (AAA) eller som en gateway-enhet som en virtuell VPN-server eller en ICA- eller RDP-proxy.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw