Підривний Атака програми-вимагача на найбільший банк світу цього тижня, Китайський промислово-комерційний банк (ICBC), може бути пов’язаний із критичною вразливістю, яка Минулого місяця Citrix розкрила у своїй технології NetScaler. Ситуація підкреслює, чому організаціям потрібно негайно виправити загрозу, якщо вони цього ще не зробили.
Так звана вразливість «CitrixBleed» (CVE-2023-4966) впливає на кілька локальних версій платформ доставки програм Citrix NetScaler ADC і NetScaler Gateway.
Ця вразливість має оцінку серйозності 9.4 з максимально можливих 10 за шкалою CVSS 3.1 і дає зловмисникам можливість викрасти конфіденційну інформацію та захопити сеанси користувачів. Citrix описав недолік як дистанційно використаний і передбачає низьку складність атаки, відсутність спеціальних привілеїв і без взаємодії з користувачем.
Масова експлуатація CitrixBleed
Зловмисники активно використовували недолік із серпня — за кілька тижнів до того, як 10 жовтня Citrix випустила оновлені версії ураженого програмного забезпечення. Дослідники Mandiant, які виявили недолік і повідомили про нього Citrix, також наполегливо рекомендували організаціям завершити всі активні сесії на кожному ураженому пристрої NetScaler, оскільки автентифіковані сеанси можуть зберігатися навіть після оновлення.
Атака програм-вимагачів на американське відділення державної компанії ICBC є одним із публічних проявів експлойт-активності. В заяву Раніше цього тижня банк повідомив, що 8 листопада він зазнав атаки програм-вимагачів, яка порушила роботу деяких його систем. The Financial Times та інші видання посилалися на джерела, які інформували їх про те, що за атакою стоять оператори програм-вимагачів LockBit.
Дослідник безпеки Кевін Бомонт вказав на Citrix NetScaler без виправлень на ICBC вікно 6 листопада як один із потенційних векторів атаки для учасників LockBit.
«На момент написання цього слова понад 5,000 організацій досі не виправлено #CitrixBleed", - сказав Бомонт. «Це дозволяє повністю, легко обійти всі форми автентифікації та використовується групами програм-вимагачів. Це так само просто, як вказувати та клацати всередину організацій — це дає зловмисникам повністю інтерактивний віддалений робочий стіл [на] іншому кінці».
Можливі атаки на пристрої NetScaler без захисту масова експлуатація статус за останні тижні. Загальнодоступний технічні подробиці недолік підживлює принаймні частину активності.
Звіт від ReliaQuest цього тижня вказав, що принаймні чотири організовані групи загроз зараз націлені на недолік. Одна з груп автоматизовано використовує CitrixBleed. ReliaQuest повідомила, що спостерігала «кілька унікальних інцидентів з клієнтами, пов’язаних із використанням Citrix Bleed» лише між 7 та 9 листопада.
«ReliaQuest виявив численні випадки в клієнтських середовищах, у яких зловмисники використовували експлойт Citrix Bleed», — повідомили в ReliaQuest. «Отримавши початковий доступ, супротивники швидко перерахували середовище, зосередившись на швидкості, а не на скритності», — зазначили в компанії. За словами ReliaQuest, у деяких інцидентах зловмисники викрали дані, а в інших вони, схоже, намагалися розгорнути програми-вимагачі.
Останні дані компанії з аналізу інтернет-трафіку GreyNoise демонструють спроби використання CitrixBleed принаймні з 51 унікальна IP-адреса — знизився з приблизно 70 наприкінці жовтня.
CISA видає вказівки щодо CitrixBleed
Експлойтна діяльність спонукала Агентство з кібербезпеки та безпеки інфраструктури США (CISA) випустити свіже керівництво і ресурси цього тижня щодо усунення загрози CitrixBleed. CISA попередила про «активне, цілеспрямоване використання» помилки, закликаючи організації «оновити пристрої без пом’якшення до оновлених версій», які Citrix випустила минулого місяця.
Сама вразливість є проблемою переповнення буфера, яка дозволяє розкривати конфіденційну інформацію. Це впливає на локальні версії NetScaler, якщо вони налаштовані як автентифікація, авторизація та облік (AAA) або як шлюзовий пристрій, наприклад віртуальний сервер VPN або проксі-сервер ICA чи RDP.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw
- : має
- :є
- 000
- 1
- 10
- 7
- 70
- 8
- 9
- a
- AAA
- МЕНЮ
- доступ
- бухгалтерський облік
- активний
- активно
- діяльність
- актори
- адресація
- постраждалих
- після
- проти
- агентство
- ВСІ
- дозволяє
- вже
- Також
- an
- аналіз
- та
- та інфраструктури
- з'являтися
- з'являється
- техніка
- додаток
- ЕСТЬ
- ARM
- навколо
- AS
- передбачається
- At
- атака
- спробував
- Спроби
- Серпня
- автентифіковано
- Authentication
- авторизації
- Автоматизований
- доступний
- Банк
- Банк Китаю
- BE
- оскільки
- було
- перед тим
- за
- буття
- між
- Box
- буфера
- переповнення буфера
- Помилка
- by
- випадків
- Китай
- комерційний
- Комерційний банк Китаю (ICBC)
- компанія
- повний
- складність
- налаштувати
- критичний
- В даний час
- клієнт
- Кібербезпека
- дані
- доставка
- розгортання
- описаний
- робочий стіл
- пристрій
- прилади
- розкриття
- відкритий
- порушено
- руйнівний
- зроблений
- вниз
- кожен
- Раніше
- легко
- дозволяє
- кінець
- Навколишнє середовище
- середовищах
- Навіть
- досвідчений
- Експлуатувати
- експлуатація
- експлуатований
- експлуатація
- Показуючи
- Фірма
- недолік
- Сфокусувати
- для
- форми
- чотири
- від
- FT
- підживлюється
- повністю
- отримала
- шлюз
- дає
- Групи
- керівництво
- було
- Мати
- притулок
- має
- основний момент
- викрадати
- хіт
- HTTP
- HTTPS
- ICBC
- ідентифікований
- if
- негайно
- in
- зазначений
- промислові
- інформація
- Інфраструктура
- початковий
- всередині
- взаємодія
- інтерактивний
- інтернет
- за участю
- IP
- питання
- Випущений
- питання
- IT
- ЙОГО
- сам
- JPG
- просто
- найбільших
- останній
- Пізно
- найменш
- пов'язаний
- низький
- максимальний
- Може..
- місяць
- множинний
- Необхідність
- немає
- зазначив,
- листопад
- жовтень
- жовтень
- of
- on
- ONE
- Оператори
- or
- організації
- Організований
- Інше
- інші
- з
- Розетки
- над
- пластир
- PC
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- це можливо
- потенціал
- КНР
- привілеї
- повноваження
- громадськість
- публічно
- швидко
- вимагачів
- Вимагальна програма
- останній
- рекомендований
- випущений
- віддалений
- віддалено
- звітом
- Повідомляється
- дослідник
- Дослідники
- ресурси
- s
- Зазначений
- шкала
- рахунок
- безпеку
- чутливий
- сервер
- сесіях
- кілька
- Шоу
- простий
- з
- ситуація
- So
- Софтвер
- деякі
- Джерела
- спеціальний
- швидкість
- державна власність
- Статус
- Хитрість
- Як і раніше
- сильно
- такі
- Systems
- цільове
- націлювання
- Технологія
- Що
- Команда
- світ
- Їх
- вони
- це
- На цьому тижні
- загроза
- актори загроз
- Зв'язаний
- до
- трафік
- створеного
- непом'якшений
- Оновити
- оновлений
- переконуючи
- us
- використовуваний
- користувач
- версії
- Віртуальний
- VPN
- вразливість
- шлях..
- week
- тижня
- коли
- який
- ВООЗ
- чому
- з
- світ
- лист
- вашу
- зефірнет