儘管已修復漏洞 駭客仍在利用 Citrix 軟體中的缺陷進行攻擊

儘管已修復漏洞 駭客仍在利用 Citrix 軟體中的缺陷進行攻擊

  • Citrix Bleed 在公司發現之前就已經被利用

  • LockBit 團夥涉嫌濫用該漏洞

該公司總部位於加州聖克拉拉。 攝影師:大衛保羅莫里斯/彭博社

 

 

Citrix Systems Inc.(思杰系統)軟體中的一個嚴重缺陷已被利用,該公司是遠端存取領域的先驅,因此人們可以在任何地方工作據美國網路官員稱,政府支持的駭客和犯罪集團
 

據 Citrix 線上貼文和網路安全研究人員稱,這個被稱為Citrix Bleed 的漏洞在被發現之前已被駭客秘密濫用了數週,並在上個月發布了修復程式。研究人員表示,自那以後,駭客加速了對該漏洞的利用,目標是數千名尚未應用修補程式的客戶中的某些客戶。

據 Citrix 線上貼文和網路安全研究人員稱,這個被稱為Citrix Bleed 的漏洞在被發現之前已被駭客秘密濫用了數週,並在上個月發布了修復程式。研究人員表示,自那以後,駭客加速了對該漏洞的利用,目標是數千名尚未應用修補程式的客戶中的某些客戶。

 

美國網路安全與基礎設施安全局(CISA)網路安全執行助理主任Eric Goldstein表示:「我們知道,包括民族國家和犯罪集團在內的各種惡意行為者都在專注於利用Citrix Bleed 漏洞。」,告訴彭博新聞社。

戈爾茨坦表示,CISA 正在向受害者提供援助,但他拒絕透露受害者的身分。他說,對手可以利用該漏洞竊取敏感資訊並試圖獲得更廣泛的網路存取權限。

 

Citrix 沒有回應尋求評論的訊息

據全球銀行安全聯盟FS-ISAC稱,利用 Citrix Bleed 漏洞的犯罪團夥包括世界上最臭名昭著的駭客團夥之一 LockBit,該聯盟週二發布了一份有關金融機構面臨的風險的安全公告

一位知情人士透露,美國財政部也表示正在調查 Citrix 漏洞是否與最近針對中國工商銀行的勒索駭客攻擊事件有關。這次違規事件導致全球最大的銀行無法清算大量美國國債交易。中國工商銀行沒有回應置評請求。

LockBit 聲稱對 ICBC 的駭客攻擊負責,該團伙的一名代表表示,該銀行支付了贖金,但彭博社無法獨立證實這一說法。《華爾街日報》先前報道了美國公債。

Citrix於 10 月 10 日宣布發現了 Citrix Bleed 漏洞並發布了修補程式。該公司表示,當時沒有跡象顯示有人利用了該漏洞。

 
 

然而,根據 Citrix 的貼文和網路安全研究人員的說法,自那以後,多個 Citrix 客戶發現他們在發布修補程式之前就遭到了破壞。據一位不願透露姓名的知情人士透露,早期的受害者之一是歐洲政府。

據 CISA 稱,Citrix Bleed 漏洞可以讓駭客控制受害者的系統。據Palo Alto Networks Inc. 的網路安全公司研究部門 Unit 42稱,該缺陷因其可以從設備內存中洩露敏感信息而得名。洩露的數據可能包括“會話令牌”,可以識別和驗證訪問者的身份。無需輸入密碼即可存取特定網站或服務。

Citrix 標記漏洞後,網路安全公司Mandiant就開始調查該漏洞,並最終在漏洞公開或修復之前發現了多名受害者,時間可以追溯到 8 月底。

Mandiant 諮詢部門的首席技術長 Charles Carmakal 告訴彭博社,這些最初的攻擊似乎沒有經濟動機。他說,曼迪安特仍在評估這些早期的入侵是否是某個民族國家(可能是中國)出於間諜目的而進行的。

在被要求置評時,中國駐華盛頓大使館沒有提及 Citrix 漏洞,而是引用了外交部 11 月 10 日的評論。工行表示,工商銀行高度關注此事,採取了有效的緊急應變措施,並進行了適當的監督和溝通,以最大程度地減少風險、影響和損失。

By

Citrix 於 10 月 23 日更新了其指南,不僅建議修補,還建議「終止所有活動和持久會話」。

數千家公司未能更新其 Citrix 軟體,也未能採取該公司、CISA 和其他機構緊急建議的其他行動。帕洛阿爾託的Unit 42 團隊也觀察到了利用該漏洞的勒索軟體組織,他們在11 月1 日的部落格中表示,至少6,000 個IP 位址似乎容易受到攻擊,其中最大數量的設備位於美國以及其他美國國家。德國、中國和英國。

GreyNoise是一家分析 IP 位址掃描的公司,報告自 10 月 17 日開始追蹤以來,已發現 335 個唯一的 IP 位址試圖使用 Citrix Bleed 漏洞。

LockBit 既是一個團伙的名稱,也是它產生的一種勒索軟體。FBI 表示,自 2020 年以來,它對美國發生的 1,700 多起攻擊事件負有責任。

安全研究員 Kevin Beaumont 表示,LockBit 對 Citrix 漏洞的利用已擴展到多個受害者。他在 Medium 上發文稱, Allen & Overy律師事務所因 Citrix 漏洞而遭到攻擊,而航空巨頭波音公司和港口營運商DP World Plc也未給 Citrix 設備打補丁,這使得駭客有可能利用該漏洞。

博蒙特將該漏洞描述為“非常容易被利用”,並補充道,“我們現在生活的網路安全現實是青少年拿著數字火箭筒在有組織的犯罪團夥中四處奔波。”

 

Allen & Overy、DP World 和波音公司的代表沒有說明 Citrix 漏洞是否被利用。一位發言人表示,Allen & Overy 的事件影響了少數儲存伺服器,但核心系統並未受到影響。一位發言人表示,影響波音零件和分銷系統的違規行為仍在調查中。

杜拜環球港務集團的代表表示,由於調查仍在進行中,該公司所能提供的細節有限。博蒙特沒有回應置評請求。

原文自: Hackers Are Exploiting a Flaw in Citrix Software Despite Fix, Bloomberg,  2023/11/19 By Katrina Manson 

https://www.bloomberg.com/news/articles/2023-11-19/hackers-are-exploiting-a-flaw-in-citrix-software-despite-fix?leadSource=uverify%20wall&embedded-checkout=true

 

Views: 6