ที่ก่อกวน แรนซั่มแวร์โจมตีธนาคารที่ใหญ่ที่สุดในโลกในสัปดาห์นี้ธนาคารอุตสาหกรรมและการพาณิชย์แห่งประเทศจีน (ICBC) ของสาธารณรัฐประชาชนจีนอาจเชื่อมโยงกับช่องโหว่ร้ายแรงที่ Citrix เปิดเผยในเทคโนโลยี NetScaler เมื่อเดือนที่แล้ว สถานการณ์ดังกล่าวตอกย้ำว่าเหตุใดองค์กรต่างๆ จึงจำเป็นต้องแก้ไขภัยคุกคามทันทีหากยังไม่ได้ดำเนินการ
ช่องโหว่ที่เรียกว่า “CitrixBleed” (CVE-2023-4966) ส่งผลต่อแพลตฟอร์มการนำส่งแอปพลิเคชัน Citrix NetScaler ADC และ NetScaler Gateway เวอร์ชันภายในองค์กรหลายเวอร์ชัน
ช่องโหว่นี้มีคะแนนความรุนแรงอยู่ที่ 9.4 จากคะแนนสูงสุดที่เป็นไปได้ 10 ในระดับ CVSS 3.1 และทำให้ผู้โจมตีมีวิธีในการขโมยข้อมูลที่ละเอียดอ่อนและจี้เซสชันผู้ใช้ Citrix อธิบายว่าข้อบกพร่องดังกล่าวสามารถหาประโยชน์ได้จากระยะไกลและเกี่ยวข้องกับความซับซ้อนในการโจมตีต่ำ ไม่มีสิทธิพิเศษ และไม่มีการโต้ตอบกับผู้ใช้
การแสวงหาประโยชน์จาก CitrixBleed จำนวนมาก
ผู้คุกคามใช้ประโยชน์จากข้อบกพร่องนี้อย่างแข็งขันตั้งแต่เดือนสิงหาคม หลายสัปดาห์ก่อนที่ Citrix จะออกซอฟต์แวร์เวอร์ชันอัปเดตที่ได้รับผลกระทบในวันที่ 10 ตุลาคม นักวิจัยที่ Mandiant ผู้ค้นพบและรายงานข้อบกพร่องดังกล่าวต่อ Citrix ได้แนะนำอย่างยิ่งว่าองค์กรต่างๆ ยุติเซสชันที่ใช้งานอยู่ทั้งหมด บนอุปกรณ์ NetScaler แต่ละเครื่องที่ได้รับผลกระทบ เนื่องจากเซสชันที่ได้รับการรับรองความถูกต้องอาจยังคงอยู่แม้หลังจากการอัพเดต
การโจมตีด้วยแรนซั่มแวร์ในหน่วยงาน ICBC ของรัฐในสหรัฐฯ ดูเหมือนจะเป็นการแสดงให้เห็นถึงกิจกรรมการหาประโยชน์ดังกล่าวต่อสาธารณะ ใน คำสั่ง เมื่อต้นสัปดาห์ที่ผ่านมา ธนาคารเปิดเผยว่าพบการโจมตีด้วยแรนซัมแวร์เมื่อวันที่ 8 พฤศจิกายน ซึ่งทำให้ระบบบางส่วนหยุดชะงัก ที่ ไทม์ทางการเงิน และร้านค้าอื่นๆ อ้างแหล่งข่าวเพื่อแจ้งให้พวกเขาทราบเกี่ยวกับตัวดำเนินการแรนซัมแวร์ LockBit ว่าอยู่เบื้องหลังการโจมตี
นักวิจัยด้านความปลอดภัย Kevin Beaumont ชี้ไปที่ Citrix NetScaler ที่ยังไม่มีแพตช์ที่ ICBC กล่องในวันที่ 6 พฤศจิกายน ซึ่งเป็นหนึ่งในเวกเตอร์การโจมตีที่เป็นไปได้สำหรับนักแสดง LockBit
“ในขณะที่เขียนเรื่องนี้ มีองค์กรมากกว่า 5,000 แห่งที่ยังไม่ได้แพตช์ #ซิทริกซ์บลีด” โบมอนต์กล่าว “ช่วยให้ข้ามการรับรองความถูกต้องทุกรูปแบบได้อย่างสมบูรณ์และง่ายดาย และกำลังถูกกลุ่มแรนซัมแวร์ใช้ประโยชน์ มันง่ายพอๆ กับการชี้และคลิกเข้าไปในองค์กร — ทำให้ผู้โจมตีมี Remote Desktop PC แบบโต้ตอบเต็มรูปแบบ [on] อีกด้านหนึ่ง”
ถือว่ามีการโจมตีอุปกรณ์ NetScaler ที่ไม่ได้รับการป้องกัน การแสวงประโยชน์จำนวนมาก สถานะในสัปดาห์ที่ผ่านมา เปิดเผยต่อสาธารณะ รายละเอียดทางเทคนิค ข้อบกพร่องได้กระตุ้นกิจกรรมบางอย่างเป็นอย่างน้อย
รายงานจาก ReliaQuest ในสัปดาห์นี้ระบุว่ามีกลุ่มภัยคุกคามอย่างน้อยสี่กลุ่ม กำลังมุ่งเป้าไปที่ข้อบกพร่อง หนึ่งในกลุ่มมีการใช้ประโยชน์จาก CitrixBleed โดยอัตโนมัติ ReliaQuest รายงานการสังเกต “เหตุการณ์ลูกค้าที่ไม่ซ้ำกันหลายเหตุการณ์ที่มีการแสวงหาผลประโยชน์จาก Citrix Bleed” ระหว่างวันที่ 7 พฤศจิกายนถึง 9 พฤศจิกายน
“ReliaQuest ได้ระบุหลายกรณีในสภาพแวดล้อมของลูกค้าที่ผู้คุกคามได้ใช้ช่องโหว่ของ Citrix Bleed” ReliaQuest กล่าว “เมื่อได้รับการเข้าถึงครั้งแรก ศัตรูก็ระบุสภาพแวดล้อมอย่างรวดเร็ว โดยมุ่งเน้นไปที่ความเร็วมากกว่าการซ่อนตัว” บริษัทตั้งข้อสังเกต ในบางเหตุการณ์ผู้โจมตีได้ขโมยข้อมูลและในบางเหตุการณ์ดูเหมือนว่าพวกเขาพยายามที่จะปรับใช้แรนซัมแวร์ ReliaQuest กล่าว
ข้อมูลล่าสุดจากบริษัทวิเคราะห์ปริมาณการใช้อินเทอร์เน็ต GreyNoise แสดงให้เห็นถึงความพยายามที่จะใช้ประโยชน์จาก CitrixBleed อย่างน้อยที่สุด ที่อยู่ IP ที่ไม่ซ้ำกัน 51 รายการ — ลดลงจากประมาณ 70 ในช่วงปลายเดือนตุลาคม
CISA ออกคำแนะนำเกี่ยวกับ CitrixBleed
กิจกรรมการหาประโยชน์ดังกล่าวทำให้สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานด้านความปลอดภัย (CISA) ของสหรัฐอเมริกาออกกฎหมาย คำแนะนำที่สดใหม่ และแหล่งข้อมูลในสัปดาห์นี้เกี่ยวกับการจัดการกับภัยคุกคาม CitrixBleed CISA เตือนถึง "การแสวงหาผลประโยชน์แบบกำหนดเป้าหมาย" ของข้อผิดพลาดในการกระตุ้นให้องค์กรต่างๆ "อัปเดตอุปกรณ์ที่ไม่ได้รับการบรรเทาให้เป็นเวอร์ชันอัปเดต" ที่ Citrix เปิดตัวเมื่อเดือนที่แล้ว
ช่องโหว่นี้เองคือปัญหาบัฟเฟอร์ล้นที่ทำให้สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนได้ โดยจะส่งผลต่อ NetScaler เวอร์ชันภายในองค์กรเมื่อกำหนดค่าเป็น Authentication, Authorization, and Accounting (AAA) หรือเป็นอุปกรณ์เกตเวย์ เช่น VPN virtual server หรือ ICA หรือ RDP Proxy
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw
- :มี
- :เป็น
- 000
- 1
- 10
- 7
- 70
- 8
- 9
- a
- AAA
- เกี่ยวกับเรา
- เข้า
- การบัญชี
- คล่องแคล่ว
- อย่างกระตือรือร้น
- อยากทำกิจกรรม
- นักแสดง
- ที่อยู่
- ได้รับผล
- หลังจาก
- กับ
- บริษัท ตัวแทน
- ทั้งหมด
- ช่วยให้
- แล้ว
- ด้วย
- an
- การวิเคราะห์
- และ
- และโครงสร้างพื้นฐาน
- ปรากฏ
- ปรากฏ
- เครื่องใช้
- การใช้งาน
- เป็น
- ARM
- รอบ
- AS
- สันนิษฐาน
- At
- โจมตี
- พยายาม
- ความพยายามในการ
- สิงหาคม
- รับรองความถูกต้อง
- การยืนยันตัวตน
- การอนุญาต
- อัตโนมัติ
- ใช้ได้
- ธนาคาร
- ธนาคารแห่งประเทศจีน
- BE
- เพราะ
- รับ
- ก่อน
- หลัง
- กำลัง
- ระหว่าง
- กล่อง
- กันชน
- บัฟเฟอร์ล้น
- Bug
- by
- กรณี
- สาธารณรัฐประชาชนจีน
- เชิงพาณิชย์
- ธนาคารพาณิชย์แห่งประเทศจีน (ICBC)
- บริษัท
- สมบูรณ์
- ความซับซ้อน
- การกำหนดค่า
- วิกฤติ
- ขณะนี้
- ลูกค้า
- cybersecurity
- ข้อมูล
- การจัดส่ง
- ปรับใช้
- อธิบาย
- เดสก์ท็อป
- เครื่อง
- อุปกรณ์
- การเปิดเผย
- ค้นพบ
- กระจัดกระจาย
- ซึ่งทำให้ยุ่ง
- ทำ
- ลง
- แต่ละ
- ก่อน
- ง่าย
- ช่วยให้
- ปลาย
- สิ่งแวดล้อม
- สภาพแวดล้อม
- แม้
- มีประสบการณ์
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การใช้ประโยชน์จาก
- ที่มีคุณสมบัติ
- บริษัท
- ข้อบกพร่อง
- โฟกัส
- สำหรับ
- รูปแบบ
- สี่
- ราคาเริ่มต้นที่
- FT
- เชื้อเพลิง
- อย่างเต็มที่
- ที่ได้รับ
- เกตเวย์
- จะช่วยให้
- กลุ่ม
- คำแนะนำ
- มี
- มี
- ที่พัก
- มี
- ไฮไลท์
- จี้
- ตี
- ที่ http
- HTTPS
- ไอซีบีซี
- ระบุ
- if
- ทันที
- in
- แสดงว่า
- อุตสาหกรรม
- ข้อมูล
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- ภายใน
- ปฏิสัมพันธ์
- การโต้ตอบ
- อินเทอร์เน็ต
- ที่เกี่ยวข้องกับ
- IP
- ปัญหา
- ทุนที่ออก
- ปัญหา
- IT
- ITS
- ตัวเอง
- jpg
- เพียงแค่
- ใหญ่ที่สุด
- ชื่อสกุล
- ปลาย
- น้อยที่สุด
- ที่เชื่อมโยง
- ต่ำ
- สูงสุด
- อาจ..
- เดือน
- หลาย
- จำเป็นต้อง
- ไม่
- เด่น
- พฤศจิกายน
- ตุลาคม
- ตุลาคม
- of
- on
- ONE
- ผู้ประกอบการ
- or
- องค์กร
- Organized
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ออก
- Outlets
- เกิน
- ปะ
- PC
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เป็นไปได้
- ที่มีศักยภาพ
- ประเทศสาธารณรัฐประชาชนจีน
- สิทธิ์
- หนังสือมอบฉันทะ
- สาธารณะ
- สาธารณชน
- อย่างรวดเร็ว
- ransomware
- แรนซัมแวร์โจมตี
- เมื่อเร็ว ๆ นี้
- แนะนำ
- การเผยแพร่
- รีโมท
- จากระยะไกล
- รายงาน
- รายงาน
- นักวิจัย
- นักวิจัย
- แหล่งข้อมูล
- s
- กล่าวว่า
- ขนาด
- คะแนน
- ความปลอดภัย
- มีความละเอียดอ่อน
- เซิร์ฟเวอร์
- ครั้ง ราคา
- หลาย
- แสดงให้เห็นว่า
- ง่าย
- ตั้งแต่
- สถานการณ์
- So
- ซอฟต์แวร์
- บาง
- แหล่งที่มา
- พิเศษ
- ความเร็ว
- ที่รัฐเป็นเจ้าของ
- Status
- ชิงทรัพย์
- ยังคง
- เสถียร
- อย่างเช่น
- ระบบ
- เป้าหมาย
- กำหนดเป้าหมาย
- เทคโนโลยี
- ที่
- พื้นที่
- โลก
- พวกเขา
- พวกเขา
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ผูก
- ไปยัง
- การจราจร
- เป็นเอกลักษณ์
- ไม่ลดละ
- บันทึก
- ให้กับคุณ
- การแนะนำ
- us
- มือสอง
- ผู้ใช้งาน
- รุ่น
- เสมือน
- VPN
- ความอ่อนแอ
- ทาง..
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- เมื่อ
- ที่
- WHO
- ทำไม
- กับ
- โลก
- การเขียน
- ของคุณ
- ลมทะเล