“CitrixBleed”与攻击中国国有银行的勒索软件有关

破坏性的 本周全球最大银行遭受勒索软件攻击中国工商银行（ICBC）可能与一个严重漏洞有关， Citrix上个月披露了其NetScaler技术。 这种情况凸显了为什么组织需要立即修补威胁（如果他们还没有这样做的话）。

所谓的“CitrixBleed”漏洞（CVE-2023-4966）影响 Citrix NetScaler ADC 和 NetScaler Gateway 应用程序交付平台的多个本地版本。

该漏洞的严重性评分为 9.4 分（CVSS 10 等级最高为 3.1 分），为攻击者提供了窃取敏感信息和劫持用户会话的方法。 Citrix 将该漏洞描述为可远程利用，攻击复杂性低，无需特殊权限，也无需用户交互。

大规模 CitrixBleed 漏洞利用

自 10 月以来，威胁行为者一直在积极利用该漏洞——距离 Citrix 于 XNUMX 月 XNUMX 日发布受影响软件的更新版本还有几周时间。发现该漏洞并向 Citrix 报告的 Mandiant 研究人员也强烈建议各组织 终止所有活动会话 在每个受影响的 NetScaler 设备上，因为即使在更新后，经过身份验证的会话也可能持续存在。

针对国有工商银行美国分公司的勒索软件攻击似乎是该漏洞利用活动的公开表现之一。 在一个 声明 本周早些时候，该银行透露，8 月 XNUMX 日遭遇勒索软件攻击，部分系统遭到破坏。 这 “金融时报” 和其他媒体援引消息人士的话称，LockBit 勒索软件运营商是此次攻击的幕后黑手。

安全研究员 Kevin Beaumont 指出 ICBC 未打补丁的 Citrix NetScaler 6 月 XNUMX 日的盒子作为 LockBit 参与者的一个潜在攻击媒介。

“截至撰写本文时，仍有 5,000 多个组织尚未修补 #CitrixBleed，”博蒙特说。 “它可以完全、轻松地绕过所有形式的身份验证，并被勒索软件组织利用。 就像在组织内部进行指向和单击一样简单 - 它为攻击者在另一端提供了完全交互式的远程桌面 PC。”

对未缓解的 NetScaler 设备的攻击假设 大规模剥削 最近几周的状态。 公开可用 技术细节 该缺陷至少助长了部分活动。

从报表 ReliaQuest 本周表示至少有四个有组织的威胁团体 目前正在针对该缺陷。 其中一个组织自动利用了 CitrixBleed。 ReliaQuest 报告称，在 7 月 9 日至 XNUMX 日期间观察到“多起以 Citrix Bleed 漏洞为特征的独特客户事件”。

ReliaQuest 表示：“ReliaQuest 已在客户环境中发现了多个威胁行为者使用 Citrix Bleed 漏洞的案例。” 该公司指出：“在获得初步访问权限后，对手很快就列举了环境，重点是速度而不是隐身。” ReliaQuest 表示，在某些事件中，攻击者窃取了数据，而在其他事件中，他们似乎试图部署勒索软件。

互联网流量分析公司 GreyNoise 的最新数据显示，至少从以下方面利用 CitrixBleed 的尝试： 51 个唯一的 IP 地址 — 较 70 月底的 XNUMX 左右有所下降。

CISA 发布有关 CitrixBleed 的指南

该漏洞利用活动已促使美国网络安全和基础设施安全局 (CISA) 发布 新的指导 以及本周有关解决 CitrixBleed 威胁的资源。 CISA 警告称，“积极、有针对性地利用”该漏洞，敦促组织“将未受影响的设备更新到 Citrix 上个月发布的更新版本”。

该漏洞本身是一个缓冲区溢出问题，可导致敏感信息泄露。 当配置为身份验证、授权和计费 (AAA) 或网关设备（例如 VPN 虚拟服务器或 ICA 或 RDP 代理）时，它会影响 NetScaler 的本地版本。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw