Το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των Η.Π.Α.
Οι συμμορίες ransomware χρησιμοποιούν ήδη το
Citrix
Bleed (που παρακολουθείται ως CVE-2023-4966) για να παραβιάσουν τα δίκτυα των στόχων τους, παρακάμπτοντας τις απαιτήσεις σύνδεσης και τις προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων.
Η ομάδα ασφαλείας του HHS, το Κέντρο Συντονισμού Κυβερνοασφάλειας του Τομέα Υγείας (HC3),
εξέδωσε προειδοποίηση τομέα
την Πέμπτη προτρέποντας όλους τους οργανισμούς υγειονομικής περίθαλψης των
ΗΠΑ
να προστατεύσουν τις ευάλωτες συσκευές NetScaler ADC και NetScaler Gateway από επιθέσεις συμμοριών ransomware.
“Η ευπάθεια Citrix Bleed αξιοποιείται ενεργά και το HC3 προτρέπει σθεναρά τους οργανισμούς να αναβαθμιστούν για να αποτρέψουν περαιτέρω ζημιές στον τομέα της Υγείας και της Δημόσιας Υγείας (HPH). Αυτή η ειδοποίηση περιέχει πληροφορίες για τον εντοπισμό επιθέσεων και τον μετριασμό της ευπάθειας.”
HC3 προειδοποίησε
.
“Το HC3 ενθαρρύνει σθεναρά τους χρήστες και τους διαχειριστές να επανεξετάσουν αυτές τις προτεινόμενες ενέργειες και να αναβαθμίσουν τις συσκευές τους για να αποτρέψουν σοβαρές ζημιές στον τομέα HPH.”
Πριν από αυτό, η Citrix εξέδωσε δύο προειδοποιήσεις ζητώντας από τους διαχειριστές να επιδιορθώσουν αμέσως τις συσκευές τους. Υπενθύμισε επίσης στους διαχειριστές να σκοτώνουν όλες τις ενεργές και επίμονες περιόδους λειτουργίας για να αποτρέψουν τους εισβολείς από το να κλέψουν διακριτικά ελέγχου ταυτότητας ακόμα και μετά την εγκατάσταση των ενημερώσεων ασφαλείας.
Πρόσφατα, η CISA και το FBI προειδοποίησαν επίσης για τη συμμετοχή της συμμορίας ransomware LockBit στις επιθέσεις. Ένα από τα θύματά τους, ο γίγαντας της αεροδιαστημικής
Boeing
, μοιράστηκε λεπτομέρειες σχετικά με το πώς μια θυγατρική της LockBit παραβίασε το δίκτυό της τον Οκτώβριο χρησιμοποιώντας μια εκμετάλλευση Citrix Bleed.
Χιλιάδες διακομιστές εκτεθειμένοι, πολλοί έχουν ήδη παραβιαστεί
Ο ειδικός σε θέματα κυβερνοασφάλειας Kevin Beaumont
παρακολουθεί και αναλύει κυβερνοεπιθέσεις
εναντίον διαφόρων θυμάτων παγκοσμίως, συμπεριλαμβανομένης της Boeing, της Industrial and Commercial Bank of
China
(ICBC), της DP World και
Allen & Overy
και διαπίστωσε ότι όλα ήταν πιθανό να παραβιάστηκαν χρησιμοποιώντας εκμεταλλεύσεις Citrix Bleed.
Beaumont
αποκάλυψε
την Παρασκευή ότι ένας πάροχος διαχειριζόμενων υπηρεσιών (MSP) με έδρα τις ΗΠΑ υπέστη επίθεση με ransomware από μια ομάδα που εκμεταλλευόταν μια ευπάθεια του Citrix Bleed πριν από μια εβδομάδα.
Το MSP εξακολουθεί να εργάζεται για να ασφαλίσει τις ευάλωτες συσκευές του Netscaler, οι οποίες θα μπορούσαν ενδεχομένως να εκθέσουν τα δίκτυα και τα δεδομένα των πελατών του σε περαιτέρω επιθέσεις.
Η Citrix διόρθωσε το ελάττωμα στις αρχές Οκτωβρίου, αλλά η Mandiant αργότερα αποκάλυψε ότι ήταν υπό ενεργή εκμετάλλευση ως μηδενική ημέρα τουλάχιστον από τα τέλη Αυγούστου 2023.
Στις 25 Οκτωβρίου, η εταιρεία διαχείρισης επιφανειών εξωτερικής επίθεσης AssetNote κυκλοφόρησε ένα CVE-2023-4966 proof-of-concept exploit που δείχνει πώς μπορούν να κλαπούν τα κουπόνια περιόδου λειτουργίας από μη επιδιορθωμένες συσκευές Citrix.
Στα μέσα Νοεμβρίου, Ιάπωνας ερευνητής απειλών
Yutaka Sejiyama
είπε στο BleepingComputer ότι περισσότεροι από 10.000 διακομιστές Citrix (πολλοί από τους οποίους ανήκουν σε κρίσιμους οργανισμούς σε πολλές χώρες) εξακολουθούν να είναι ευάλωτοι σε επιθέσεις Citrix Bleed, περισσότερο από ένα μήνα μετά την επιδιόρθωση του κρίσιμου ελαττώματος.
“Αυτή η επείγουσα προειδοποίηση του HC3 υποδηλώνει τη σοβαρότητα της ευπάθειας του Citrix Bleed και την επείγουσα ανάγκη ανάπτυξης των υπαρχουσών ενημερώσεων κώδικα και αναβαθμίσεων Citrix για την ασφάλεια των συστημάτων μας.”
είπε
John
Riggi, σύμβουλος κυβερνοασφάλειας και κινδύνου για την American Hospital Association, μια εμπορική ομάδα στον κλάδο της υγείας που εκπροσωπεί 5.000 νοσοκομεία και παρόχους υγειονομικής περίθαλψης σε όλες τις ΗΠΑ
“Αυτή η κατάσταση καταδεικνύει επίσης την επιθετικότητα με την οποία ξένες συμμορίες ransomware, κυρίως ρωσόφωνες ομάδες, συνεχίζουν να στοχεύουν νοσοκομεία και συστήματα υγείας. Οι επιθέσεις ransomware διακόπτουν και καθυστερούν την παροχή υγειονομικής περίθαλψης, θέτοντας σε κίνδυνο τις ζωές των ασθενών.”
VIA:
bleepingcomputer.com