Οι επιθέσεις
ransomware
Lockbit χρησιμοποιούν δημόσια διαθέσιμα exploit για την ευπάθεια Citrix Bleed (CVE-
2023
-4966) για να παραβιάσουν τα συστήματα μεγάλων οργανισμών, να κλέψουν δεδομένα και να
κρυπτο
γραφήσουν αρχεία.
Αν και η Citrix έκανε διαθέσιμες επιδιορθώσεις για το CVE-2023-4966 πριν από περισσότερο από ένα μήνα, χιλιάδες τελικά σημεία που εκτίθενται στο διαδίκτυο εξακολουθούν να εκτελούν ευάλωτες συσκευές, πολλές στις
ΗΠΑ
Επιθέσεις Lockbit υψηλού προφίλ
Ο ερευνητής απειλών Kevin Beaumont
παρακολουθούσε επιθέσεις
Αυτοί είναι εκτεθειμένοι διακομιστές Citrix [
1
,
2
] ευάλωτο στο ελάττωμα του Citrix Bleed, το οποίο λέει ότι η συμμορία ransomware LockBit εκμεταλλεύεται επιθέσεις.
Ο διακομιστής Citrix που εκτελεί το DP World είναι ευάλωτος στο ελάττωμα του Citrix Bleed
Πηγή: Kevin Beaumont
Αυτό ήταν παραπέρα
επιβεβαιωμένος
από την Wall Street Journal, η οποία έλαβε ένα email από το Υπουργείο Οικονομικών των ΗΠΑ που εστάλη σε επιλεγμένους παρόχους χρηματοοικονομικών υπηρεσιών, αναφέροντας ότι η LockBit ήταν υπεύθυνη για την κυβερνοεπίθεση στο ICBC, η οποία επιτεύχθηκε με την εκμετάλλευση του ελαττώματος του Citrix Bleed.
Εάν η LockBit χρησιμοποίησε την ευπάθεια για να παραβιάσει μια εταιρεία, πιστεύεται ότι πιθανότατα παραβίασαν την Boeing και την DP World με παρόμοιο τρόπο.
Αυτές οι επιθέσεις πιθανότατα διεξάγονται από μια θυγατρική του LockBit που χρησιμοποιεί σε
μεγάλο
βαθμό αυτήν την ευπάθεια για να παραβιάσει δίκτυα αντί η ίδια η λειτουργία ransomware να βρίσκεται πίσω από την επίθεση.
Καθώς το LockBit είναι το μεγαλύτερο Ransomware-as-a-Service, χρησιμοποιεί πολλούς συνεργάτες που έχουν πλήρη διακριτική ευχέρεια για τον τρόπο με τον οποίο παραβιάζουν τα δίκτυα.
Όπως είδαμε με μια θυγατρική που ανήκε τόσο στις επιχειρήσεις GandCrab όσο και στη συνέχεια στο REvil, δεν είναι ασυνήθιστο για έναν χάκερ να επικεντρώνεται σε έναν συγκεκριμένο κλάδο ή σε μια μέθοδο αρχικής πρόσβασης.
Για παράδειγμα, μια θυγατρική εταιρεία GandCrab/REvil που ειδικεύεται στην εκμετάλλευση λογισμικού MSP [1, 2, 3] για την κρυπτογράφηση εταιρειών και πιθανότατα βλέπουμε μια θυγατρική LockBit να χρησιμοποιεί το ελάττωμα του Citrix Bleed για μαζική παραβίαση δικτύων.
Μια τεράστια επιφάνεια επίθεσης
Κατά τη στιγμή της γραφής, περισσότεροι από 10.400 διακομιστές Citrix είναι ευάλωτοι στο CVE-2023-4966, σύμφωνα με ευρήματα από Ιάπωνα ερευνητή απειλών
Yutaka Sejiyama
κοινόχρηστο με BleepingComputer.
Η πλειοψηφία των διακομιστών, 3.133, βρίσκονται στις ΗΠΑ, ακολουθούμενοι από 1.228 στη Γερμανία, 733 στην Κίνα, 558 στο Ηνωμένο Βασίλειο, 381 στην Αυστραλία, 309 στον Καναδά, 301 στη Γαλλία, 277 στην Ιταλία, 252 στην Ισπανία, 244 σε την Ολλανδία και 215 στην Ελβετία.
Οι σαρώσεις του Sejiyama αποκάλυψαν ευάλωτους διακομιστές σε μεγάλους και κρίσιμους οργανισμούς στις παραπάνω και σε πολλές άλλες χώρες, οι οποίοι παραμένουν χωρίς επιδιόρθωση για έναν ολόκληρο μήνα μετά τη δημόσια αποκάλυψη του κρίσιμου ελαττώματος.
Λεπτομέρειες Citrix Bleed
Το Citrix Bleed αποκαλύφθηκε στις 10 Οκτωβρίου ως ένα κρίσιμο ζήτημα ασφαλείας που επηρεάζει το Citrix NetScaler ADC και το Gateway, επιτρέποντας την πρόσβαση σε ευαίσθητες πληροφορίες συσκευής.
Η Mandiant ανέφερε ότι οι παράγοντες απειλών άρχισαν να εκμεταλλεύονται το Citrix Bleed στα τέλη Αυγούστου, όταν το ελάττωμα ασφαλείας ήταν ακόμα μια μέρα μηδέν. Στις επιθέσεις, οι χάκερ χρησιμοποίησαν αιτήματα HTTP GET για να αποκτήσουν cookie περιόδου λειτουργίας Netscaler AAA μετά το στάδιο ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Η Citrix προέτρεψε τους διαχειριστές να προστατεύσουν τα συστήματα από αυτές τις επιθέσεις χαμηλής πολυπλοκότητας και χωρίς αλληλεπίδραση. Στις 25 Οκτωβρίου, η εταιρεία διαχείρισης επιφανειών εξωτερικής επίθεσης AssetNote κυκλοφόρησε ένα exploit απόδειξης ιδέας που δείχνει πώς μπορούν να κλαπούν τα διακριτικά περιόδου λειτουργίας.
VIA:
bleepingcomputer.com