'CitrixBleed' được liên kết với ransomware tấn công ngân hàng quốc doanh Trung Quốc

sự phá cách Cuộc tấn công ransomware vào ngân hàng lớn nhất thế giới trong tuần này, Ngân hàng Công thương Trung Quốc (ICBC) của Trung Quốc, có thể bị ràng buộc với một lỗ hổng nghiêm trọng Citrix đã tiết lộ công nghệ NetScaler của mình vào tháng trước. Tình huống này nêu bật lý do tại sao các tổ chức cần phải vá lỗi ngay lập tức để chống lại mối đe dọa nếu họ chưa làm như vậy.

Cái gọi là lỗ hổng “CitrixBleed” (CVE-2023-4966) ảnh hưởng đến nhiều phiên bản tại chỗ của nền tảng phân phối ứng dụng Citrix NetScaler ADC và NetScaler Gateway.

Lỗ hổng này có điểm nghiêm trọng là 9.4 trên 10 điểm tối đa có thể có trên thang điểm CVSS 3.1 và cung cấp cho kẻ tấn công một cách để đánh cắp thông tin nhạy cảm và chiếm quyền điều khiển phiên của người dùng. Citrix đã mô tả lỗ hổng này có thể bị khai thác từ xa và có độ phức tạp tấn công thấp, không có đặc quyền và không có sự tương tác của người dùng.

Khai thác hàng loạt CitrixBleed

Các tác nhân đe dọa đã tích cực khai thác lỗ hổng kể từ tháng 10 — vài tuần trước khi Citrix phát hành phiên bản cập nhật của phần mềm bị ảnh hưởng vào ngày XNUMX tháng XNUMX. Các nhà nghiên cứu tại Mandiant đã phát hiện và báo cáo lỗ hổng cho Citrix cũng đặc biệt khuyến nghị các tổ chức nên chấm dứt tất cả các phiên hoạt động trên mỗi thiết bị NetScaler bị ảnh hưởng vì có khả năng các phiên xác thực vẫn tồn tại ngay cả sau khi cập nhật.

Cuộc tấn công ransomware vào chi nhánh ICBC thuộc sở hữu nhà nước của Hoa Kỳ dường như là một biểu hiện công khai của hoạt động khai thác. trong một tuyên bố đầu tuần này, ngân hàng tiết lộ rằng họ đã trải qua một cuộc tấn công bằng ransomware vào ngày 8 tháng XNUMX khiến một số hệ thống của ngân hàng bị gián đoạn. Các Thời báo Tài chính và các cửa hàng khác trích dẫn các nguồn thông báo cho họ về những kẻ điều hành ransomware LockBit đứng đằng sau vụ tấn công.

Nhà nghiên cứu bảo mật Kevin Beaumont đã chỉ ra Citrix NetScaler chưa được vá tại ICBC box vào ngày 6 tháng XNUMX như một vectơ tấn công tiềm năng cho các tác nhân LockBit.

“Tính đến thời điểm viết bài này, hơn 5,000 tổ chức vẫn chưa được vá #CitrixChảy Máu“, Beaumont nói. “Nó cho phép bỏ qua hoàn toàn, dễ dàng tất cả các hình thức xác thực và đang bị các nhóm ransomware khai thác. Nó đơn giản như việc trỏ và nhấp chuột theo cách của bạn bên trong các tổ chức — nó cung cấp cho kẻ tấn công một Máy tính để bàn Từ xa tương tác đầy đủ [ở] ở đầu bên kia.”

Các cuộc tấn công vào các thiết bị NetScaler chưa được thừa nhận đã được giả định khai thác hàng loạt tình trạng trong những tuần gần đây. Có sẵn công khai chi tiết kỹ thuật của lỗ hổng đã thúc đẩy ít nhất một số hoạt động.

Một báo cáo từ ReliaQuest tuần này chỉ ra rằng ít nhất bốn nhóm đe dọa có tổ chức hiện đang nhắm tới lỗ hổng. Một trong các nhóm đã tự động khai thác CitrixBleed. ReliaQuest báo cáo đã quan sát thấy “nhiều sự cố đặc biệt của khách hàng liên quan đến việc khai thác Citrix Bleed” chỉ trong khoảng thời gian từ ngày 7 đến ngày 9 tháng XNUMX.

“ReliaQuest đã xác định được nhiều trường hợp trong môi trường khách hàng mà các tác nhân đe dọa đã sử dụng cách khai thác Citrix Bleed,” ReliaQuest cho biết. Công ty lưu ý: “Sau khi có được quyền truy cập ban đầu, đối thủ nhanh chóng liệt kê môi trường, tập trung vào tốc độ thay vì tàng hình”. ReliaQuest cho biết trong một số sự cố, những kẻ tấn công đã lấy cắp dữ liệu và trong một số sự cố khác, chúng dường như đã cố gắng triển khai phần mềm ransomware.

Dữ liệu mới nhất từ ​​công ty phân tích lưu lượng truy cập Internet GreyNoise cho thấy các nỗ lực khai thác CitrixBleed ít nhất từ 51 địa chỉ IP duy nhất – giảm từ khoảng 70 vào cuối tháng XNUMX.

CISA ban hành hướng dẫn về CitrixBleed

Hoạt động khai thác đã khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) phải ban hành hướng dẫn mới và các nguồn lực trong tuần này về việc giải quyết mối đe dọa CitrixBleed. CISA đã cảnh báo về việc “khai thác tích cực, có chủ đích” lỗi này trong việc thúc giục các tổ chức “cập nhật các thiết bị chưa được sửa chữa lên các phiên bản cập nhật” mà Citrix đã phát hành vào tháng trước.

Bản thân lỗ hổng này là sự cố tràn bộ đệm cho phép tiết lộ thông tin nhạy cảm. Nó ảnh hưởng đến các phiên bản NetScaler tại chỗ khi được định cấu hình làm Xác thực, Ủy quyền và Kế toán (AAA) hoặc dưới dạng thiết bị cổng như máy chủ ảo VPN hoặc ICA hoặc Proxy RDP.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw