'CitrixBleed' เชื่อมโยงกับ Ransomware ที่โจมตีธนาคารของรัฐของจีน

ที่ก่อกวน แรนซั่มแวร์โจมตีธนาคารที่ใหญ่ที่สุดในโลกในสัปดาห์นี้ธนาคารอุตสาหกรรมและการพาณิชย์แห่งประเทศจีน (ICBC) ของสาธารณรัฐประชาชนจีนอาจเชื่อมโยงกับช่องโหว่ร้ายแรงที่ Citrix เปิดเผยในเทคโนโลยี NetScaler เมื่อเดือนที่แล้ว สถานการณ์ดังกล่าวตอกย้ำว่าเหตุใดองค์กรต่างๆ จึงจำเป็นต้องแก้ไขภัยคุกคามทันทีหากยังไม่ได้ดำเนินการ

ช่องโหว่ที่เรียกว่า “CitrixBleed” (CVE-2023-4966) ส่งผลต่อแพลตฟอร์มการนำส่งแอปพลิเคชัน Citrix NetScaler ADC และ NetScaler Gateway เวอร์ชันภายในองค์กรหลายเวอร์ชัน

ช่องโหว่นี้มีคะแนนความรุนแรงอยู่ที่ 9.4 จากคะแนนสูงสุดที่เป็นไปได้ 10 ในระดับ CVSS 3.1 และทำให้ผู้โจมตีมีวิธีในการขโมยข้อมูลที่ละเอียดอ่อนและจี้เซสชันผู้ใช้ Citrix อธิบายว่าข้อบกพร่องดังกล่าวสามารถหาประโยชน์ได้จากระยะไกลและเกี่ยวข้องกับความซับซ้อนในการโจมตีต่ำ ไม่มีสิทธิพิเศษ และไม่มีการโต้ตอบกับผู้ใช้

การแสวงหาประโยชน์จาก CitrixBleed จำนวนมาก

ผู้คุกคามใช้ประโยชน์จากข้อบกพร่องนี้อย่างแข็งขันตั้งแต่เดือนสิงหาคม หลายสัปดาห์ก่อนที่ Citrix จะออกซอฟต์แวร์เวอร์ชันอัปเดตที่ได้รับผลกระทบในวันที่ 10 ตุลาคม นักวิจัยที่ Mandiant ผู้ค้นพบและรายงานข้อบกพร่องดังกล่าวต่อ Citrix ได้แนะนำอย่างยิ่งว่าองค์กรต่างๆ ยุติเซสชันที่ใช้งานอยู่ทั้งหมด บนอุปกรณ์ NetScaler แต่ละเครื่องที่ได้รับผลกระทบ เนื่องจากเซสชันที่ได้รับการรับรองความถูกต้องอาจยังคงอยู่แม้หลังจากการอัพเดต

การโจมตีด้วยแรนซั่มแวร์ในหน่วยงาน ICBC ของรัฐในสหรัฐฯ ดูเหมือนจะเป็นการแสดงให้เห็นถึงกิจกรรมการหาประโยชน์ดังกล่าวต่อสาธารณะ ใน คำสั่ง เมื่อต้นสัปดาห์ที่ผ่านมา ธนาคารเปิดเผยว่าพบการโจมตีด้วยแรนซัมแวร์เมื่อวันที่ 8 พฤศจิกายน ซึ่งทำให้ระบบบางส่วนหยุดชะงัก ที่ ไทม์ทางการเงิน และร้านค้าอื่นๆ อ้างแหล่งข่าวเพื่อแจ้งให้พวกเขาทราบเกี่ยวกับตัวดำเนินการแรนซัมแวร์ LockBit ว่าอยู่เบื้องหลังการโจมตี

นักวิจัยด้านความปลอดภัย Kevin Beaumont ชี้ไปที่ Citrix NetScaler ที่ยังไม่มีแพตช์ที่ ICBC กล่องในวันที่ 6 พฤศจิกายน ซึ่งเป็นหนึ่งในเวกเตอร์การโจมตีที่เป็นไปได้สำหรับนักแสดง LockBit

“ในขณะที่เขียนเรื่องนี้ มีองค์กรมากกว่า 5,000 แห่งที่ยังไม่ได้แพตช์ #ซิทริกซ์บลีด” โบมอนต์กล่าว “ช่วยให้ข้ามการรับรองความถูกต้องทุกรูปแบบได้อย่างสมบูรณ์และง่ายดาย และกำลังถูกกลุ่มแรนซัมแวร์ใช้ประโยชน์ มันง่ายพอๆ กับการชี้และคลิกเข้าไปในองค์กร — ทำให้ผู้โจมตีมี Remote Desktop PC แบบโต้ตอบเต็มรูปแบบ [on] อีกด้านหนึ่ง”

ถือว่ามีการโจมตีอุปกรณ์ NetScaler ที่ไม่ได้รับการป้องกัน การแสวงประโยชน์จำนวนมาก สถานะในสัปดาห์ที่ผ่านมา เปิดเผยต่อสาธารณะ รายละเอียดทางเทคนิค ข้อบกพร่องได้กระตุ้นกิจกรรมบางอย่างเป็นอย่างน้อย

รายงานจาก ReliaQuest ในสัปดาห์นี้ระบุว่ามีกลุ่มภัยคุกคามอย่างน้อยสี่กลุ่ม กำลังมุ่งเป้าไปที่ข้อบกพร่อง หนึ่งในกลุ่มมีการใช้ประโยชน์จาก CitrixBleed โดยอัตโนมัติ ReliaQuest รายงานการสังเกต “เหตุการณ์ลูกค้าที่ไม่ซ้ำกันหลายเหตุการณ์ที่มีการแสวงหาผลประโยชน์จาก Citrix Bleed” ระหว่างวันที่ 7 พฤศจิกายนถึง 9 พฤศจิกายน

“ReliaQuest ได้ระบุหลายกรณีในสภาพแวดล้อมของลูกค้าที่ผู้คุกคามได้ใช้ช่องโหว่ของ Citrix Bleed” ReliaQuest กล่าว “เมื่อได้รับการเข้าถึงครั้งแรก ศัตรูก็ระบุสภาพแวดล้อมอย่างรวดเร็ว โดยมุ่งเน้นไปที่ความเร็วมากกว่าการซ่อนตัว” บริษัทตั้งข้อสังเกต ในบางเหตุการณ์ผู้โจมตีได้ขโมยข้อมูลและในบางเหตุการณ์ดูเหมือนว่าพวกเขาพยายามที่จะปรับใช้แรนซัมแวร์ ReliaQuest กล่าว

ข้อมูลล่าสุดจากบริษัทวิเคราะห์ปริมาณการใช้อินเทอร์เน็ต GreyNoise แสดงให้เห็นถึงความพยายามที่จะใช้ประโยชน์จาก CitrixBleed อย่างน้อยที่สุด ที่อยู่ IP ที่ไม่ซ้ำกัน 51 รายการ — ลดลงจากประมาณ 70 ในช่วงปลายเดือนตุลาคม

CISA ออกคำแนะนำเกี่ยวกับ CitrixBleed

กิจกรรมการหาประโยชน์ดังกล่าวทำให้สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานด้านความปลอดภัย (CISA) ของสหรัฐอเมริกาออกกฎหมาย คำแนะนำที่สดใหม่ และแหล่งข้อมูลในสัปดาห์นี้เกี่ยวกับการจัดการกับภัยคุกคาม CitrixBleed CISA เตือนถึง "การแสวงหาผลประโยชน์แบบกำหนดเป้าหมาย" ของข้อผิดพลาดในการกระตุ้นให้องค์กรต่างๆ "อัปเดตอุปกรณ์ที่ไม่ได้รับการบรรเทาให้เป็นเวอร์ชันอัปเดต" ที่ Citrix เปิดตัวเมื่อเดือนที่แล้ว

ช่องโหว่นี้เองคือปัญหาบัฟเฟอร์ล้นที่ทำให้สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนได้ โดยจะส่งผลต่อ NetScaler เวอร์ชันภายในองค์กรเมื่อกำหนดค่าเป็น Authentication, Authorization, and Accounting (AAA) หรือเป็นอุปกรณ์เกตเวย์ เช่น VPN virtual server หรือ ICA หรือ RDP Proxy

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw