El disruptivo Ataque de ransomware al banco más grande del mundo esta semana, el Banco Industrial y Comercial de China (ICBC) de la República Popular China, puede estar vinculado a una vulnerabilidad crítica que Citrix reveló en su tecnología NetScaler el mes pasado. La situación pone de relieve por qué las organizaciones necesitan tomar medidas inmediatas contra la amenaza si aún no lo han hecho.
La llamada vulnerabilidad "CitrixBleed" (CVE-2023-4966) afecta a varias versiones locales de las plataformas de entrega de aplicaciones Citrix NetScaler ADC y NetScaler Gateway.
La vulnerabilidad tiene una puntuación de gravedad de 9.4 sobre un máximo posible de 10 en la escala CVSS 3.1 y ofrece a los atacantes una forma de robar información confidencial y secuestrar sesiones de usuarios. Citrix ha descrito la falla como explotable de forma remota e implica baja complejidad de ataque, sin privilegios especiales y sin interacción del usuario.
Explotación masiva de CitrixBleed
Los actores de amenazas han estado explotando activamente la falla desde agosto, varias semanas antes de que Citrix publicara versiones actualizadas del software afectado el 10 de octubre. Los investigadores de Mandiant que descubrieron e informaron la falla a Citrix también recomendaron encarecidamente que las organizaciones terminar todas las sesiones activas en cada dispositivo NetScaler afectado debido a la posibilidad de que las sesiones autenticadas persistan incluso después de la actualización.
El ataque de ransomware a la filial estadounidense del ICBC, de propiedad estatal, parece ser una manifestación pública de la actividad de explotación. en un ambiental A principios de esta semana, el banco reveló que había experimentado un ataque de ransomware el 8 de noviembre que interrumpió algunos de sus sistemas. El Financial Times y otros medios citaron fuentes que les informaron que los operadores de ransomware LockBit estaban detrás del ataque.
Investigador de seguridad Kevin Beaumont señaló un Citrix NetScaler sin parches en ICBC box el 6 de noviembre como un posible vector de ataque para los actores de LockBit.
"En el momento de escribir este artículo, más de 5,000 organizaciones aún no han parcheado #CitrixBleed”, dijo Beaumont. “Permite eludir de forma fácil y completa todas las formas de autenticación y está siendo explotado por grupos de ransomware. Es tan simple como apuntar y hacer clic dentro de las organizaciones: les brinda a los atacantes una PC de escritorio remota completamente interactiva [en] el otro extremo”.
Los ataques a dispositivos NetScaler no mitigados han asumido explotación masiva situación en las últimas semanas. Disponible públicamente detalles técnicos La falla ha impulsado al menos parte de la actividad.
Un informe de ReliaQuest indicó esta semana que al menos cuatro grupos de amenazas organizados Actualmente están apuntando a la falla. Uno de los grupos ha automatizado la explotación de CitrixBleed. ReliaQuest informó haber observado “múltiples incidentes únicos de clientes relacionados con la explotación de Citrix Bleed” apenas entre el 7 y el 9 de noviembre.
"ReliaQuest ha identificado múltiples casos en entornos de clientes en los que los actores de amenazas han utilizado el exploit Citrix Bleed", dijo ReliaQuest. "Una vez obtenido el acceso inicial, los adversarios enumeraron rápidamente el entorno, centrándose en la velocidad sobre el sigilo", señaló la empresa. En algunos incidentes, los atacantes extrajeron datos y en otros parecen haber intentado implementar ransomware, dijo ReliaQuest.
Los últimos datos de la firma de análisis de tráfico de Internet GreyNoise muestran intentos de explotar CitrixBleed desde al menos 51 direcciones IP únicas – en comparación con alrededor de 70 a finales de octubre.
CISA publica orientación sobre CitrixBleed
La actividad de explotación ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir nueva orientación y recursos esta semana para abordar la amenaza CitrixBleed. CISA advirtió sobre una “explotación activa y dirigida” del error al instar a las organizaciones a “actualizar los dispositivos no mitigados a las versiones actualizadas” que Citrix lanzó el mes pasado.
La vulnerabilidad en sí es un problema de desbordamiento del buffer que permite la divulgación de información confidencial. Afecta a las versiones locales de NetScaler cuando se configura como autenticación, autorización y contabilidad (AAA) o como un dispositivo de puerta de enlace, como un servidor virtual VPN o un proxy ICA o RDP.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/ransomware-hit-china-owned-bank-citrixbleed-flaw
