Fidye yazılımı çetesi büyük firmaların hacklenmesinden pay alırken, Citrix müşterilerinden yama yapmaları istendi
Güvenlik araştırmacıları diyor ki Bilgisayar korsanları, dünya çapındaki büyük kuruluşlara karşı felç edici siber saldırılar başlatmak için Citrix NetScaler sistemlerindeki kritik dereceli bir güvenlik açığından toplu olarak yararlanıyor.
Bu siber saldırılara şu ana kadar havacılık devi Boeing; dünyanın en büyük bankası ICBC; dünyanın en büyük liman işletmecilerinden biri olan DP World; Raporlara göre uluslararası hukuk firması Allen & Overy.
Binlerce başka kuruluş bu güvenlik açığına karşı yama yapılmamış durumda ve resmi olarak şu şekilde takip ediliyor: CVE-2023-4966 ve “CitrixBleed” olarak adlandırıldı. Etkilenen sistemlerin çoğunluğu Kuzey Amerika’da bulunuyor. kar amacı gütmeyen tehdit izleyici Shadowserver Vakfı. ABD hükümetinin siber güvenlik kurumu CISA da alarm verdi federal kurumları yama yapmaya çağıran bir danışma belgesinde Aktif olarak sömürülen kusura karşı.
Şu ana kadar bildiklerimiz bunlar.
CitrixBleed nedir?
10 Ekim’de ağ ekipmanı üreticisi Citrix, büyük kuruluşların ve hükümetlerin uygulama dağıtımı ve VPN bağlantısı için kullandığı NetScaler ADC ve NetScaler Gateway platformlarının şirket içi sürümlerini etkileyen güvenlik açığını açıkladı.
Kusur, kimliği doğrulanmamış uzaktaki saldırganların, hassas oturum belirteçleri de dahil olmak üzere (bu nedenle “CitrixBleed” adı) savunmasız bir Citrix cihazının belleğinden büyük miktarlarda veri almasına olanak tanıyan hassas bir bilginin açığa çıkması güvenlik açığı olarak tanımlanıyor. Hatanın istismar edilmesi çok az çaba veya karmaşıklık gerektiriyor ve bilgisayar korsanlarının bir şifreye ihtiyaç duymadan veya iki faktör kullanmadan kurbanın ağını tehlikeye atmak için meşru oturum belirteçlerini ele geçirmesine ve kullanmasına olanak tanıyor.
Citrix yamalar yayınladı, ancak bir hafta sonra 17 Ekim’de tavsiyelerini vahşi doğada sömürü gözlemlediğini bildirecek şekilde güncelledi.
İlk kurbanlar arasında profesyonel hizmetler, teknoloji ve devlet kurumları yer alıyordu. olaya müdahale devi Mandiant’a göreCitrix’in yamaları kullanıma sunmasından önce Ağustos ayı sonlarında “birden fazla başarılı istismar örneğini” keşfettikten sonra araştırmaya başladığını söyledi.
Robert Knapp, siber güvenlik firması Rapid7’nin olay müdahale başkanı. hatayı araştırmaya başladım Bir müşterinin ağındaki hatanın potansiyel olarak istismar edildiğini tespit ettikten sonra şirketin sağlık, üretim ve perakende alanlarındaki kuruluşları hedef alan saldırganları da gözlemlediğini söyledi.
Knapp, “Rapid7 olay müdahale ekipleri, araştırmalarımız sırasında hem yanal hareketi hem de veri erişimini gözlemledi” dedi ve bilgisayar korsanlarının, ilk uzlaşmanın ardından kurbanların ağına ve verilerine daha geniş erişim elde edebildiklerini öne sürdü.
Ünlü kurbanlar
Siber güvenlik şirketi ReliaQuest şunları söyledi: geçen hafta Adını vermediği en az dört tehdit grubunun CitrixBleed’den yararlandığına ve en az bir grubun saldırı sürecini otomatikleştirdiğine dair kanıtlar var.
Tehdit aktörlerinden birinin, CitrixBleed ile ilişkili olduğuna inanılan çok sayıda büyük ölçekli ihlalin sorumluluğunu zaten üstlenen Rusya bağlantılı LockBit fidye yazılımı çetesi olduğuna inanılıyor.
Güvenlik araştırmacısı Kevin Beaumont bir blog yazısında şunu yazdı: Salı günü, LockBit çetesi geçen hafta, yama yapılmamış bir Citrix Netscaler kutusunu tehlikeye atarak, varlıklar açısından dünyanın en büyük kredi veren kuruluşu olduğu söylenen Çin Sanayi ve Ticaret Bankası’nın (ICBC) ABD şubesine saldırdı. Kesinti, bankacılık devinin işlemleri tamamlama kabiliyetini sekteye uğrattı. Salı günü Bloomberg’e görefirma henüz normal faaliyetlerine geri dönmedi.
LockBit’in fidye talebini ödediği bildirilen ICBC, TechCrunch’ın sorularını yanıtlamayı reddetti ancak web sitesinde yaptığı açıklamada “belirli sistemlerin bozulmasına yol açan bir fidye yazılımı saldırısına maruz kaldığını” söyledi.
Bir LockBit temsilcisi Pazartesi günü Reuters’e söyledi ICBC “fidye ödedi – anlaşma tamamlandı” ancak iddialarına dair kanıt sunmadı. LockBit ayrıca kötü amaçlı yazılım araştırma grubu vx-underground’a söyledi ICBC’nin fidye ödediğini ancak ne kadar olduğunu söylemeyi reddettiğini söyledi.
Beaumont Mastodon’daki bir yazıda şöyle dedi Boeing’in ayrıca LockBit ihlali sırasında yama yapılmamış bir Citrix Netscaler sistemine sahip olduğu ve açığa çıkan veritabanları ve cihazlar için bir arama motoru olan Shodan’dan alınan verilere atıfta bulunuldu.
Boeing sözcüsü Jim Proulx daha önce TechCrunch’a şirketin “parçalarımızı ve dağıtım işimizi etkileyen bir siber olaydan haberdar olduğunu” ancak LockBit’in çalıntı verileri yayınladığı iddiası hakkında yorum yapmayacağını söylemişti.
Beaumont, dünyanın en büyük hukuk firmalarından biri olan Allen & Overy’nin de uzlaşma sırasında etkilenen bir Citrix sistemi işlettiğini belirtti. LockBit, fidye yazılımı çetelerinin kurbanlar fidye talebinde bulunmadıkça dosyaları yayınlayarak kurbanları şantaj yapmak için kullandığı karanlık web sızıntı sitesine hem Boeing’i hem de Allen & Overy’yi ekledi.
Allen & Overy sözcüsü Debbie Spitz, hukuk firmasının bir “veri olayı” yaşadığını doğruladı ve “tam olarak hangi verilerin etkilendiğini değerlendiriyoruz ve etkilenen müşterileri bilgilendiriyoruz” dedi.
Medusa fidye yazılımı çetesi aynı zamanda hedeflenen organizasyonları tehlikeye atmak için CitrixBleed’den de yararlanıyor. Beaumont dedi.
Rapid7’nin güvenlik açığı araştırması başkanı Caitlin Condon, TechCrunch’a “CVE-2023-4966’nın 2023’ten itibaren rutin olarak en çok yararlanılan güvenlik açıklarından biri olmasını bekliyoruz” dedi.