Bu hafta dünyanın en büyük bankası olan Çin Halk Cumhuriyeti Sanayi ve Ticaret Bankası’na (ICBC) yapılan yıkıcı fidye yazılımı saldırısı, Citrix’in geçen ay NetScaler teknolojisinde ortaya çıkardığı kritik bir güvenlik açığıyla bağlantılı olabilir. Bu durum, kuruluşların henüz yapmamışlarsa neden tehdide karşı hemen yama yapmaları gerektiğini ortaya koyuyor.
Sözde “CitrixBleed” güvenlik açığı (CVE-2023-4966) Citrix NetScaler ADC ve NetScaler Gateway uygulama dağıtım platformlarının birden fazla şirket içi sürümünü etkiler.
Güvenlik açığı, CVSS 3.1 ölçeğinde mümkün olan maksimum 10 üzerinden 9,4 önem derecesine sahip ve saldırganlara hassas bilgileri çalma ve kullanıcı oturumlarını ele geçirme yolu sunuyor. Citrix, kusurun uzaktan istismar edilebilir olduğunu ve düşük saldırı karmaşıklığı içerdiğini, özel ayrıcalıkların bulunmadığını ve kullanıcı etkileşiminin bulunmadığını belirtti.
Kitle Citrix Kanama İstismarı
Tehdit aktörleri, Citrix’in 10 Ekim’de etkilenen yazılımın güncellenmiş sürümlerini yayınlamasından birkaç hafta önce, Ağustos ayından bu yana kusurdan aktif olarak yararlanıyor. Kusuru keşfeden ve Citrix’e bildiren Mandiant’taki araştırmacılar, kuruluşlara da şiddetle tavsiyede bulundu: tüm aktif oturumları sonlandır Kimliği doğrulanmış oturumların güncellemeden sonra bile devam etme potansiyeli nedeniyle etkilenen her NetScaler cihazında.
Devlete ait ICBC’nin ABD koluna yapılan fidye yazılımı saldırısı, istismar faaliyetinin halka açık bir tezahürü gibi görünüyor. İçinde ifade Bu haftanın başlarında banka, 8 Kasım’da bazı sistemlerini bozan bir fidye yazılımı saldırısına maruz kaldığını açıkladı. Finans Zamanları ve diğer kaynaklar, saldırının arkasında LockBit fidye yazılımı operatörlerinin olduğu konusunda kendilerine bilgi veren kaynaklardan alıntı yaptı.
Güvenlik araştırmacısı Kevin Beaumont, ICBC’de yama yapılmamış bir Citrix NetScaler’a işaret etti LockBit aktörleri için potansiyel bir saldırı vektörü olarak 6 Kasım’daki kutu.
“Bu yazıyı yazarken 5.000’den fazla kuruluş hâlâ yama yapmadı #CitrixBleedBeaumont, “Tüm kimlik doğrulama biçimlerinin tamamen ve kolayca atlanmasına olanak tanıyor ve fidye yazılımı grupları tarafından istismar ediliyor. Kuruluşların içine doğru işaret edip tıklamak kadar basittir; saldırganlara tamamen etkileşimli bir Uzak Masaüstü Bilgisayarı sağlar [on] diğer Son.”
Kesintisiz NetScaler cihazlarına yapılan saldırıların, kitlesel sömürü son haftalardaki durumu. Halka açık teknik detaylar Kusurun en azından faaliyetin bir kısmını körüklediği ortaya çıktı.
Bir rapor ReliaQuest bu hafta en az dört organize tehdit grubunun bulunduğunu belirtti. şu anda kusuru hedef alıyorlar. Gruplardan biri CitrixBleed’den otomatik olarak yararlanıyor. ReliaQuest, 7 Kasım ile 9 Kasım arasında “Citrix Bleed istismarını içeren çok sayıda benzersiz müşteri olayı” gözlemlediğini bildirdi.
ReliaQuest, “ReliaQuest, müşteri ortamlarında tehdit aktörlerinin Citrix Bleed istismarını kullandığı çok sayıda vaka tespit etti” dedi. Şirket, “İlk erişime sahip olan düşmanlar, gizlilik yerine hıza odaklanarak ortamı hızlı bir şekilde sıraladılar” dedi. ReliaQuest, bazı olaylarda saldırganların verileri sızdırdığını, diğerlerinde ise fidye yazılımı dağıtmaya çalıştıklarını belirtti.
İnternet trafiği analiz firması GreyNoise’dan gelen son veriler, CitrixBleed’den en azından yararlanma girişimlerini gösteriyor 51 benzersiz IP adresi – Ekim ayının sonlarında 70 civarındaydı.
CISA, CitrixBleed Hakkında Kılavuz Yayımladı
Bu istismar faaliyeti, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) taze rehberlik ve bu hafta CitrixBleed tehdidine yönelik kaynaklar. CISA, organizasyonları Citrix’in geçen ay yayınladığı “önemsiz cihazları güncellenmiş sürümlere güncellemeye” teşvik ederek hatanın “aktif, hedefli bir şekilde istismar edildiği” konusunda uyardı.
Güvenlik açığının kendisi, hassas bilgilerin açığa çıkmasına olanak tanıyan bir arabellek taşması sorunudur. Kimlik Doğrulama, Yetkilendirme ve Hesaplama (AAA) olarak veya VPN sanal sunucusu veya ICA veya RDP Proxy’si gibi bir ağ geçidi cihazı olarak yapılandırıldığında NetScaler’ın şirket içi sürümlerini etkiler.