'CitrixBleed' Çin'in Devlet Bankasına Yapılan Fidye Yazılım Saldırısıyla Bağlantılı

Yıkıcı Bu hafta dünyanın en büyük bankasına fidye yazılımı saldırısıÇin Halk Cumhuriyeti'nin Çin Sanayi ve Ticaret Bankası (ICBC), kritik bir güvenlik açığıyla bağlantılı olabilir. Citrix geçen ay NetScaler teknolojisini açıkladı. Bu durum, kuruluşların henüz yapmamışlarsa neden tehdide karşı hemen yama yapmaları gerektiğini ortaya koyuyor.

“CitrixBleed” güvenlik açığı olarak adlandırılan (CVE-2023-4966) Citrix NetScaler ADC ve NetScaler Gateway uygulama dağıtım platformlarının birden fazla şirket içi sürümünü etkiler.

Güvenlik açığı, CVSS 9.4 ölçeğinde mümkün olan maksimum 10 üzerinden 3.1 önem derecesine sahip ve saldırganlara hassas bilgileri çalma ve kullanıcı oturumlarını ele geçirme yolu sunuyor. Citrix, kusurun uzaktan istismar edilebilir olduğunu ve düşük saldırı karmaşıklığı içerdiğini, özel ayrıcalıkların bulunmadığını ve kullanıcı etkileşiminin bulunmadığını belirtti.

Kitle CitrixKanama İstismarı

Tehdit aktörleri, Ağustos ayından beri (Citrix'in 10 Ekim'de etkilenen yazılımın güncellenmiş sürümlerini yayınlamasından birkaç hafta önce) bu kusurdan aktif olarak yararlanıyor. Kusuru keşfedip Citrix'e bildiren Mandiant'taki araştırmacılar da kuruluşlara bu kusuru şiddetle tavsiye etti. tüm aktif oturumları sonlandır Kimliği doğrulanmış oturumların güncellemeden sonra bile devam etme potansiyeli nedeniyle etkilenen her NetScaler cihazında.

Devlete ait ICBC'nin ABD koluna yapılan fidye yazılımı saldırısı, istismar faaliyetinin halka açık bir tezahürü gibi görünüyor. İçinde ifade Bu haftanın başlarında banka, 8 Kasım'da bazı sistemlerini bozan bir fidye yazılımı saldırısına maruz kaldığını açıkladı. Financial Times ve diğer kaynaklar, saldırının arkasında LockBit fidye yazılımı operatörlerinin olduğu konusunda kendilerine bilgi veren kaynaklardan alıntı yaptı.

Güvenlik araştırmacısı Kevin Beaumont, ICBC'de yama yapılmamış bir Citrix NetScaler'a işaret etti LockBit aktörleri için potansiyel bir saldırı vektörü olarak 6 Kasım'daki kutu.

“Bu yazıyı yazarken 5,000'den fazla kuruluş hâlâ yama yapmadı #CitrixBleed" dedi Beaumont. “Tüm kimlik doğrulama biçimlerinin tamamen ve kolayca atlanmasına olanak tanıyor ve fidye yazılımı grupları tarafından istismar ediliyor. Kuruluşların içine doğru işaret edip tıklamak kadar basit; saldırganlara diğer uçta tamamen etkileşimli bir Uzak Masaüstü Bilgisayarı sağlıyor."

Kesintisiz NetScaler cihazlarına yapılan saldırıların, kitlesel sömürü son haftalardaki durumu. Halka açık teknik detaylar Kusurun en azından faaliyetin bir kısmını körüklediği ortaya çıktı.

Bir rapor ReliaQuest bu hafta en az dört organize tehdit grubunun bulunduğunu belirtti. şu anda kusuru hedef alıyorlar. Gruplardan biri CitrixBleed'den otomatik olarak yararlanıyor. ReliaQuest, 7 Kasım ile 9 Kasım arasında "Citrix Bleed istismarını içeren çok sayıda benzersiz müşteri olayı" gözlemlediğini bildirdi.

ReliaQuest, "ReliaQuest, müşteri ortamlarında tehdit aktörlerinin Citrix Bleed istismarını kullandığı çok sayıda vaka tespit etti" dedi. Şirket, "İlk erişime sahip olan düşmanlar, gizlilik yerine hıza odaklanarak ortamı hızlı bir şekilde sıraladılar" dedi. ReliaQuest, bazı olaylarda saldırganların verileri sızdırdığını, diğerlerinde ise fidye yazılımı dağıtmaya çalıştıklarını söyledi.

İnternet trafiği analiz firması GreyNoise'dan gelen son veriler, CitrixBleed'den en azından yararlanma girişimlerini gösteriyor 51 benzersiz IP adresi - Ekim ayının sonlarında 70 civarındaydı.

CISA, CitrixBleed Hakkında Kılavuz Yayımladı

Bu istismar faaliyeti, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın (CISA) taze rehberlik ve bu hafta CitrixBleed tehdidine yönelik kaynaklar. CISA, organizasyonları Citrix'in geçen ay yayınladığı "hafifletilmemiş cihazları güncellenmiş sürümlere güncellemeye" teşvik ederek hatanın "aktif, hedefli bir şekilde istismar edildiği" konusunda uyardı.

Güvenlik açığının kendisi, hassas bilgilerin açığa çıkmasına olanak tanıyan bir arabellek taşması sorunudur. Kimlik Doğrulama, Yetkilendirme ve Hesaplama (AAA) olarak veya VPN sanal sunucusu veya ICA veya RDP Proxy'si gibi bir ağ geçidi cihazı olarak yapılandırıldığında NetScaler'ın şirket içi sürümlerini etkiler.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw