| Хакеры все еще используют критический недостаток в программном обеспечении Citrix с тех пор, как он был обнаружен и исправлен в прошлом месяце, сообщает Bloomberg. Уязвимость, получившая название Citrix Bleed, использовалась правительственными хакерами и группами киберпреступников, сообщил представитель службы кибербезопасности США. |
| Логистическая компания DP World Australia все еще имеет дело с кибератакой, которая использовала уязвимость CitrixBleed, News.com.au сообщает. После взлома были закрыты четыре крупных порта и скопилось 30 000 контейнеров. Устройства в сети DP World не обновлялись до кибератаки 10 ноября, хотя исправление уязвимости Citrix было доступно более месяца. |
Также читайте:
- Хакеры также использовали взлом Citrix в ходе недавней атаки на нью-йоркское отделение Промышленного и коммерческого банка Китая, сообщает WSJ.
от Автора: By Katrina Manson19. November 2023 at 16:00 GMT+3
Критический недостаток в программном обеспечении Citrix Systems Inc., компании, которая впервые внедрила удаленный доступ, чтобы люди могли работать где угодно, был использован поддерживаемыми правительством хакерами и преступными группировками, по словам американского чиновника по кибербезопасности.
Уязвимость, получившая название Citrix Bleed, тайно использовалась хакерами в течение нескольких недель, прежде чем была обнаружена, и в прошлом месяце было выпущено исправление, согласно онлайн-сообщениям Citrix и исследователям кибербезопасности. С тех пор, по словам исследователей, хакеры ускорили использование ошибки, нацелившись на некоторых из тысяч клиентов, которые не применили исправление.
“Мы осознаем, что широкий спектр злоумышленников, включая как национальные государства, так и преступные группировки, сосредоточены на использовании уязвимости Citrix Bleed”, — заявил агентству Bloomberg News Эрик Голдстайн, исполнительный помощник директора по кибербезопасности Агентства кибербезопасности и инфраструктурной безопасности США, известного как CISA.
CISA оказывает помощь пострадавшим, сказал Гольдштейн, который отказался назвать их имена. По его словам, злоумышленники могут воспользоваться уязвимостью для кражи конфиденциальной информации и попытаться получить более широкий доступ к сети.
Citrix не отвечала на сообщения с просьбой прокомментировать ситуацию.
Среди преступных группировок, использующих ошибку Citrix Bleed, одна из самых известных в мире хакерских банд LockBit, согласно глобальному консорциуму по банковской безопасности FS-ISAC, который во вторник опубликовал бюллетень по безопасности о риске для финансовых учреждений.
Министерство финансов США также заявило, что расследует, являются ли уязвимости Citrix причиной недавнего изнурительного взлома с целью получения выкупа у Industrial & Commercial Bank of China Ltd., по словам человека, знакомого с этим вопросом. Из-за взлома крупнейший в мире банк не смог очистить ряд сделок казначейства США. ICBC не ответил на запрос о комментариях.
Подробнее: Крупнейший в мире банк вынужден торговать через USB-накопитель после взлома
LockBit взяла на себя ответственность за взлом ICBC, а представитель банды заявил, что банк заплатил выкуп, хотя Bloomberg не смог независимо подтвердить это заявление. The Wall Street Journal ранее сообщала о векселе Министерства финансов США.
Citrix объявила, что обнаружила ошибку Citrix Bleed 10 октября и выпустила исправление. Компания заявила, что на тот момент не было никаких признаков того, что кто-либо воспользовался этой уязвимостью. Однако, с тех пор многие клиенты Citrix обнаружили, что они были взломаны до выпуска исправления, согласно сообщению Citrix и исследователям кибербезопасности. По словам человека, знакомого с этим вопросом, одной из первых жертв стало европейское правительство, которое отказалось назвать страну.
По данным CISA, ошибка Citrix Bleed может позволить хакеру получить контроль над системой жертвы. Этот недостаток получил свое прозвище из-за того, что он может привести к утечке конфиденциальной информации из памяти устройства, согласно исследованию подразделения 42 компании Palo Alto Networks Inc., занимающейся кибербезопасностью. Утечка данных может включать в себя “токены сеанса”, которые могут идентифицировать и аутентифицировать посетителя определенного веб-сайта или сервиса без ввода пароля.
Подробнее: Банда вымогателей LockBit пересматривает свою тактику по мере того, как выплаты сокращаются
Фирма по кибербезопасности Mandiant начала изучать уязвимость после того, как Citrix отметила ее, и в конечном итоге обнаружила множество жертв еще до того, как ошибка была обнародована или исправлена, начиная с конца августа.
Чарльз Кармакал, технический директор консалтингового подразделения Mandiant, сказал Bloomberg, что эти первоначальные атаки, по-видимому, не были финансово мотивированы. По его словам, Mandiant все еще оценивает, были ли эти ранние вторжения осуществлены в шпионских целях национальным государством, возможно, Китаем.
На запрос о комментариях посольство Китая в Вашингтоне не обратилось к уязвимости Citrix, а вместо этого сослалось на комментарии Министерства иностранных дел от 10 ноября. “ICBC внимательно следит за этим и принял эффективные меры реагирования на чрезвычайные ситуации, а также обеспечил надлежащий надзор и коммуникацию, чтобы минимизировать риск, воздействие и ущерб”, — говорится в сообщении министерства.
Citrix обновила свое руководство 23 октября, рекомендовав не только вносить исправления, но и “отключать все активные и постоянные сеансы”.
Тысячи компаний не смогли обновить свое программное обеспечение Citrix и предпринять другие действия, которые компания, CISA и другие настоятельно рекомендовали. Команды подразделения 42 в Пало-Альто, которые также наблюдали за группами вымогателей, использующими ошибку, сообщили в блоге от 1 ноября, что по меньшей мере 6000 IP-адресов оказались уязвимыми и что наибольшее количество этих устройств расположено в США, а также другие в Германии, Китае и Великобритании.
GreyNoise, компания, анализирующая сканирование по IP-адресам, сообщила, что она обнаружила 335 уникальных IP-адресов, пытающихся использовать эксплойт Citrix Bleed, с тех пор как начала отслеживать его 17 октября.
LockBit — это одновременно название банды и тип программы-вымогателя, которую она производила. ФБР заявляет, что оно несет ответственность за более чем 1700 атак против США с 2020 года.
Исследователь безопасности Кевин Бомонт (Kevin Beaumont) сказал, что использование LockBit уязвимости Citrix распространяется на множество жертв. Юридическая фирма Allen & Overy была взломана с помощью уязвимости Citrix, сказал он в сообщении на Medium, а авиационный гигант Boeing Co. и портовый оператор DP World Plc отключили устройства Citrix, что позволило хакерам потенциально использовать ошибку.
Подробнее: Хакерская банда Lockbit публикует на сайте то, что, по ее словам, является данными Boeing
Бомонт описал этот недостаток как “невероятно простой в использовании” и добавил: “Реальность кибербезопасности, в которой мы сейчас живем, заключается в том, что подростки бегают в организованных преступных группировках с цифровыми базуками”.
Представители Allen & Overy, DP World и Boeing не уточнили, была ли использована ошибка Citrix. По словам представителя компании, инцидент в Allen & Overy затронул небольшое количество серверов хранения данных, но основные системы не пострадали. По словам пресс-секретаря, нарушение, затронувшее запчасти и систему распределения Boeing, по-прежнему расследуется.
Представитель DP World сказал, что компания ограничена в деталях, которые она может предоставить, из-за продолжающегося характера расследования. Бомонт не ответил на запрос о комментариях.
— При содействии Джули Джонсон
ФОТО: ДЖАСТИН САЛЛИВАН/ GETTY IMAGES