Οι χάκερ εκμεταλλεύονται το σφάλμα «CitrixBleed» στο τελευταίο κύμα μαζικών επιθέσεων στον κυβερνοχώρο

Οι πελάτες της Citrix προτρέπονται να επιδιορθώσουν καθώς η συμμορία ransomware παίρνει τα εύσημα για το χακάρισμα μεγάλων εταιρειών

Λένε ερευνητές ασφαλείας

χάκερ εκμεταλλεύονται μαζικά μια ευπάθεια κρίσιμης αξιολόγησης στα συστήματα Citrix NetScaler για να εξαπολύσουν εξοντωτικές επιθέσεις στον κυβερνοχώρο εναντίον μεγάλων οργανισμών παγκοσμίως.

Χιλιάδες άλλοι οργανισμοί παραμένουν χωρίς επιδιόρθωση έναντι της ευπάθειας, παρακολουθούνται επίσημα ως

CVE-2023-4966

και ονομάστηκε “CitrixBleed”. Η πλειοψηφία των συστημάτων που επηρεάζονται βρίσκονται στη Βόρεια Αμερική, σύμφωνα με

μη κερδοσκοπικό πρόγραμμα παρακολούθησης απειλών Shadowserver Foundation

. Η υπηρεσία

κυβερνοασφάλεια

ς της αμερικανικής κυβέρνησης CISA έκρουσε επίσης τον κώδωνα του κινδύνου

σε μια συμβουλευτική παρότρυνση των ομοσπονδιακών υπηρεσιών να επιδιορθώσουν

ενάντια στο ελάττωμα που εκμεταλλεύεται ενεργά.

Να τι γνωρίζουμε μέχρι στιγμής.

Τι είναι το CitrixBleed;

Στις 10 Οκτωβρίου, η εταιρεία κατασκευής εξοπλισμού δικτύου Citrix αποκάλυψε την ευπάθεια που επηρεάζει τις on-premise εκδόσεις των πλατφορμών NetScaler ADC και NetScaler Gateway, τις οποίες χρησιμοποιούν μεγάλες επιχειρήσεις και κυβερνήσεις για παράδοση εφαρμογών και συνδεσιμότητα VPN.

Το ελάττωμα περιγράφεται ως ευπάθεια αποκάλυψης ευαίσθητων πληροφοριών που επιτρέπει σε απομακρυσμένους μη

επα

ληθευμένους εισβολείς να εξάγουν μεγάλες ποσότητες δεδομένων από τη μνήμη μιας ευάλωτης συσκευής Citrix, συμπεριλαμβανομένων των ευαίσθητων διακριτικών συνεδρίας (εξ ου και το όνομα “CitrixBleed”). Το σφάλμα απαιτεί λίγη προσπάθεια ή πολυπλοκότητα για την εκμετάλλευσή του, επιτρέποντας στους χάκερ να κλέβουν και να χρησιμοποιούν νόμιμα διακριτικά περιόδου λειτουργίας για να διακυβεύουν το δίκτυο ενός θύματος χωρίς να χρειάζονται κωδικό πρόσβασης ή να χρησιμοποιούν δύο παράγοντες.

Η Citrix κυκλοφόρησε patches, αλλά μια εβδομάδα αργότερα, στις 17 Οκτωβρίου, ενημέρωσε τις συμβουλές της για να ενημερώσει ότι είχε παρατηρήσει εκμετάλλευση στη φύση.

Τα πρώιμα θύματα περιλαμβάνουν επαγγελματικές

υπηρεσίες

, τεχνολογία και κυβερνητικούς οργανισμούς,

σύμφωνα με τον κολοσσό αντιμετώπισης περιστατικών Mandiant

η οποία είπε ότι ξεκίνησε τη διερεύνηση αφού ανακάλυψε «πολλαπλές περιπτώσεις επιτυχημένης εκμετάλλευσης» ήδη από τα τέλη Αυγούστου πριν η Citrix διαθέσει patches.

Robert Knapp, επικεφαλής αντιμετώπισης περιστατικών στην εταιρεία κυβερνοασφάλειας Rapid7 — η οποία επίσης

άρχισε να ερευνά το σφάλμα

μετά τον εντοπισμό πιθανής εκμετάλλευσης του σφάλματος στο δίκτυο ενός πελάτη — είπε ότι η εταιρεία έχει επίσης παρατηρήσει επιτιθέμενους που στοχεύουν οργανισμούς σε όλη την υγειονομική περίθαλψη, την κατασκευή και το λιανικό εμπόριο.

«Οι ανταποκριτές περιστατικών Rapid7 παρατήρησαν τόσο πλευρική κίνηση όσο και πρόσβαση σε δεδομένα κατά τη διάρκεια των ερευνών μας», είπε ο Knapp, προτείνοντας ότι οι χάκερ μπορούν να αποκτήσουν ευρύτερη πρόσβαση στο δίκτυο και τα δεδομένα των θυμάτων μετά από αρχικό συμβιβασμό.

Μεγάλα θύματα

Η εταιρεία κυβερνοασφάλειας ReliaQuest δήλωσε

Την προηγούμενη εβδομάδα

έχει στοιχεία ότι τουλάχιστον τέσσερις ομάδες απειλών – τις οποίες δεν κατονόμασε – χρησιμοποιούν το CitrixBleed, με τουλάχιστον μία ομάδα να αυτοματοποιεί τη διαδικασία επίθεσης.

Ένας από τους παράγοντες απειλής πιστεύεται ότι είναι η συνδεδεμένη με τη Ρωσία συμμορία ransomware LockBit, η οποία έχει ήδη αναλάβει την ευθύνη για αρκετές παραβιάσεις μεγάλης κλίμακας που πιστεύεται ότι σχετίζονται με το CitrixBleed.

Ερευνητής ασφάλειας

Ο Kevin Beaumont έγραψε σε μια ανάρτηση στο blog

Την Τρίτη ότι η συμμορία LockBit την περασμένη εβδομάδα εισέβαλε στο αμερικανικό υποκατάστημα της Industrial and Commercial Bank of

China

(ICBC) – που λέγεται ότι είναι ο μεγαλύτερος δανειστής στον κόσμο από άποψη περιουσιακών στοιχείων – διακυβεύοντας ένα μη επιδιορθωμένο κουτί Citrix Netscaler. Η διακοπή διέκοψε την ικανότητα του τραπεζικού γίγαντα να εκκαθαρίζει συναλλαγές.

Σύμφωνα με το Bloomberg την Τρίτη

η εταιρεία δεν έχει ακόμη αποκαταστήσει την κανονική λειτουργία.

Το ICBC, το οποίο φέρεται να πλήρωσε τη ζήτηση λύτρων του LockBit, αρνήθηκε να απαντήσει στις ερωτήσεις του TechCrunch, αλλά ανέφερε σε δήλωση στον ιστότοπό του ότι «βίωσε μια επίθεση ransomware» που «οδήγησε σε διακοπή σε ορισμένα συστήματα».

Εκπρόσωπος LockBit

είπε στο Reuters τη Δευτέρα

ότι η ICBC “πλήρωσε λύτρα – η συμφωνία έκλεισε”, αλλά δεν παρείχε αποδεικτικά στοιχεία για τον ισχυρισμό της. LockBit επίσης

είπε η ερευνητική ομάδα κακόβουλου λογισμικού vx-underground

ότι η ICBC πλήρωσε λύτρα, αλλά αρνήθηκε να πει πόσα.

Beaumont

είπε σε ανάρτησή του στο Mastodon

ότι η

Boeing

είχε επίσης ένα μη επιδιορθωμένο σύστημα Citrix Netscaler τη στιγμή της παραβίασης του LockBit, επικαλούμενο δεδομένα από τη Shodan, μια μηχανή αναζήτησης για εκτεθειμένες βάσεις δεδομένων και συσκευές.

Ο εκπρόσωπος της Boeing, Jim Proulx, δήλωσε στο TechCrunch ότι η εταιρεία «γνωρίζει ένα περιστατικό στον κυβερνοχώρο που επηρεάζει στοιχεία των ανταλλακτικών και των δραστηριοτήτων διανομής μας», αλλά δεν σχολίασε την υποτιθέμενη δημοσίευση κλεμμένων δεδομένων από την LockBit.

Η συμμορία ransomware Medusa εκμεταλλεύεται επίσης το CitrixBleed για να θέσει σε κίνδυνο στοχευμένους οργανισμούς,

είπε ο Μπομόν

.

«Θα περιμέναμε ότι το CVE-2023-4966 θα είναι ένα από τα κορυφαία τρωτά σημεία που χρησιμοποιούνται τακτικά από το 2023», δήλωσε στο TechCrunch η επικεφαλής έρευνας ευπάθειας του Rapid7, Caitlin Condon.