Vụ tấn công bằng ransomware tàn khốc trong tuần này nhằm vào ngân hàng lớn nhất thế giới, Ngân hàng Công thương Trung Quốc (ICBC), có thể liên quan đến lỗ hổng nghiêm trọng trong công nghệ NetScaler được Citrix tiết lộ vào tháng trước. Tình hình nêu bật lý do tại sao các doanh nghiệp cần phải vá lỗi trước mối đe dọa này ngay lập tức.
Lỗ hổng được gọi là "CitrixBleed" (CVE-2023-4966) ảnh hưởng đến nhiều phiên bản tại chỗ của nền tảng phân phối ứng dụng Citrix NetScaler ADC và NetScaler Gateway.
Trong xếp hạng CVSS3.1, lỗ hổng này có mức độ nghiêm trọng là 9,4/10, cho phép kẻ tấn công đánh cắp thông tin nhạy cảm và chiếm quyền điều khiển phiên của người dùng. Citrix cho biết lỗ hổng này có thể bị khai thác từ xa, với độ phức tạp tấn công thấp, không có quyền đặc biệt và không có sự tương tác của người dùng.
Các tác nhân đe dọa đã tích cực khai thác lỗ hổng kể từ tháng 8, vài tuần trước khi Citrix phát hành phiên bản cập nhật của phần mềm bị ảnh hưởng vào ngày 10 tháng 10. Các nhà nghiên cứu của Mandiant đã phát hiện và báo cáo lỗ hổng cho Citrix cũng đặc biệt khuyến nghị các doanh nghiệp nên chấm dứt tất cả các phiên hoạt động trên từng thiết bị NetScaler bị ảnh hưởng vì các phiên xác thực có thể tiếp tục tồn tại ngay cả sau khi cập nhật.
Cuộc tấn công bằng ransomware vào chi nhánh ICBC tại Hoa Kỳ dường như là biểu hiện công khai của một chiến dịch khai thác lỗ hổng. Ngân hàng tiết lộ trong một tuyên bố đầu tuần này rằng họ đã phải hứng chịu một cuộc tấn công bằng ransomware vào ngày 8 tháng 11 khiến một số hệ thống của ngân hàng bị sập. Financial Times và các phương tiện truyền thông khác trích dẫn các nguồn tin nói rằng những kẻ điều hành ransomware LockBit đứng đằng sau vụ tấn công.
Nhà nghiên cứu bảo mật Kevin Beaumont đã chỉ ra rằng Citrix NetScaler chưa được vá của Ngân hàng Công thương Trung Quốc vào ngày 6 tháng 11 là một vectơ tấn công tiềm năng cho các tác nhân LockBit.
Beaumont cho biết: "Tính đến thời điểm viết bài này, hơn 5.000 tổ chức vẫn chưa được vá lỗi #CitrixBleed. Nó cho phép kẻ tấn công bỏ qua hoàn toàn và dễ dàng tất cả các hình thức xác thực và đang bị các nhóm ransomware khai thác. Việc này đơn giản như việc trỏ và nhấp vào trong một tổ chức, mang lại cho kẻ tấn công một máy tính để bàn từ xa tương tác đầy đủ ở đầu bên kia."
Trong những tuần gần đây, các cuộc tấn công nhắm vào các thiết bị NetScaler không được thỏa hiệp đã trở thành đối tượng bị khai thác trên quy mô lớn. Các chi tiết kỹ thuật có sẵn công khai của lỗ hổng đã gây ra ít nhất một số cuộc tấn công.
Một báo cáo tuần này từ ReliaQuest tiết lộ rằng ít nhất bốn nhóm đe dọa có tổ chức hiện đang nhắm mục tiêu vào lỗ hổng này. Một trong những tổ chức đã tự động tận dụng CitrixBleed. ReliaQuest báo cáo rằng chỉ trong khoảng thời gian từ ngày 7 tháng 11 đến ngày 9 tháng 11, họ đã quan sát thấy “nhiều sự cố đặc biệt của khách hàng liên quan đến việc khai thác CitrixBleed”.
ReliaQuest cho biết: "ReliaQuest đã phát hiện nhiều trường hợp tác nhân đe dọa sử dụng cách khai thác CitrixBleed trong môi trường khách hàng." Công ty lưu ý: “Sau khi có được quyền truy cập ban đầu, kẻ tấn công nhanh chóng liệt kê môi trường, tập trung vào tốc độ hơn là tàng hình”. ReliaQuest Trong một số sự cố, những kẻ tấn công đã lấy cắp dữ liệu, trong khi ở những sự cố khác, chúng dường như đang cố gắng triển khai ransomware, Quest cho biết. "
Dữ liệu mới nhất từ công ty phân tích lưu lượng truy cập internet GreyNoise cho thấy ít nhất 51 địa chỉ IP đang cố gắng khai thác CitrixBleed, giảm so với con số khoảng 70 vào cuối tháng 10. Chiến dịch khai thác
đã khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) trong tuần này đưa ra hướng dẫn và tài nguyên mới để chống lại CitrixBleed CISA cảnh báo rằng lỗ hổng này có thể bị "khai thác tích cực và có chủ đích" đồng thời kêu gọi các tổ chức "cập nhật các thiết bị không hạn chế lên phiên bản cập nhật do Citrix phát hành vào tháng trước."Bản thân lỗ hổng này là sự cố tràn bộ đệm có thể dẫn đến việc tiết lộ thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến các phiên bản tại chỗ khi NetScaler được định cấu hình làm thiết bị Xác thực, Ủy quyền và Kế toán (AAA) hoặc cổng như máy chủ ảo VPN hoặc proxy ICA hoặc RDP.