«CitrixBleed» пов’язаний з програмою-вимагачем, яка вразила державний банк Китаю

Підривний Атака програми-вимагача на найбільший банк світу цього тижня, Китайський промислово-комерційний банк (ICBC), може бути пов’язаний із критичною вразливістю, яка Минулого місяця Citrix розкрила у своїй технології NetScaler. Ситуація підкреслює, чому організаціям потрібно негайно виправити загрозу, якщо вони цього ще не зробили.

Так звана вразливість «CitrixBleed» (CVE-2023-4966) впливає на кілька локальних версій платформ доставки програм Citrix NetScaler ADC і NetScaler Gateway.

Ця вразливість має оцінку серйозності 9.4 з максимально можливих 10 за шкалою CVSS 3.1 і дає зловмисникам можливість викрасти конфіденційну інформацію та захопити сеанси користувачів. Citrix описав недолік як дистанційно використаний і передбачає низьку складність атаки, відсутність спеціальних привілеїв і без взаємодії з користувачем.

Масова експлуатація CitrixBleed

Зловмисники активно використовували недолік із серпня — за кілька тижнів до того, як 10 жовтня Citrix випустила оновлені версії ураженого програмного забезпечення. Дослідники Mandiant, які виявили недолік і повідомили про нього Citrix, також наполегливо рекомендували організаціям завершити всі активні сесії на кожному ураженому пристрої NetScaler, оскільки автентифіковані сеанси можуть зберігатися навіть після оновлення.

Атака програм-вимагачів на американське відділення державної компанії ICBC є одним із публічних проявів експлойт-активності. В заяву Раніше цього тижня банк повідомив, що 8 листопада він зазнав атаки програм-вимагачів, яка порушила роботу деяких його систем. The Financial Times та інші видання посилалися на джерела, які інформували їх про те, що за атакою стоять оператори програм-вимагачів LockBit.

Дослідник безпеки Кевін Бомонт вказав на Citrix NetScaler без виправлень на ICBC вікно 6 листопада як один із потенційних векторів атаки для учасників LockBit.

«На момент написання цього слова понад 5,000 організацій досі не виправлено #CitrixBleed", - сказав Бомонт. «Це дозволяє повністю, легко обійти всі форми автентифікації та використовується групами програм-вимагачів. Це так само просто, як вказувати та клацати всередину організацій — це дає зловмисникам повністю інтерактивний віддалений робочий стіл [на] іншому кінці».

Можливі атаки на пристрої NetScaler без захисту масова експлуатація статус за останні тижні. Загальнодоступний технічні подробиці недолік підживлює принаймні частину активності.

Звіт від ReliaQuest цього тижня вказав, що принаймні чотири організовані групи загроз зараз націлені на недолік. Одна з груп автоматизовано використовує CitrixBleed. ReliaQuest повідомила, що спостерігала «кілька унікальних інцидентів з клієнтами, пов’язаних із використанням Citrix Bleed» лише між 7 та 9 листопада.

«ReliaQuest виявив численні випадки в клієнтських середовищах, у яких зловмисники використовували експлойт Citrix Bleed», — повідомили в ReliaQuest. «Отримавши початковий доступ, супротивники швидко перерахували середовище, зосередившись на швидкості, а не на скритності», — зазначили в компанії. За словами ReliaQuest, у деяких інцидентах зловмисники викрали дані, а в інших вони, схоже, намагалися розгорнути програми-вимагачі.

Останні дані компанії з аналізу інтернет-трафіку GreyNoise демонструють спроби використання CitrixBleed принаймні з 51 унікальна IP-адреса — знизився з приблизно 70 наприкінці жовтня.

CISA видає вказівки щодо CitrixBleed

Експлойтна діяльність спонукала Агентство з кібербезпеки та безпеки інфраструктури США (CISA) випустити свіже керівництво і ресурси цього тижня щодо усунення загрози CitrixBleed. CISA попередила про «активне, цілеспрямоване використання» помилки, закликаючи організації «оновити пристрої без пом’якшення до оновлених версій», які Citrix випустила минулого місяця.

Сама вразливість є проблемою переповнення буфера, яка дозволяє розкривати конфіденційну інформацію. Це впливає на локальні версії NetScaler, якщо вони налаштовані як автентифікація, авторизація та облік (AAA) або як шлюзовий пристрій, наприклад віртуальний сервер VPN або проксі-сервер ICA чи RDP.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw