Hackers maken misbruik van de ‘CitrixBleed’-bug in de nieuwste golf van massale cyberaanvallen

Hackers maken misbruik van de ‘CitrixBleed’-bug in de nieuwste golf van massale cyberaanvallen

Beveiligingsonderzoekers zeggen dat hackers massaal misbruik maken van een kritieke kwetsbaarheid in Citrix NetScaler-systemen om verlammende cyberaanvallen te lanceren tegen grote organisaties over de hele wereld.

Deze cyberaanvallen vallen CVE-2023-4966 aan en worden CitrixBleed genoemd. Het merendeel van de getroffen systemen bevindt zich volgens het Amerikaanse ministerie van Buitenlandse Zaken in Noord-Amerika non-profit dreigingstracker Shadowserver Foundation . Ook het cyberveiligheidsagentschap CISA van de Amerikaanse overheid heeft alarm geslagen in een advies waarin federale agentschappen worden opgeroepen om te patchen tegen de actief uitgebuite fout.

Dit is wat we tot nu toe weten.



Wat is CitrixBleed?

Op 10 oktober maakte netwerkapparatuurfabrikant Citrix de kwetsbaarheid bekend die lokale versies treft van zijn NetScaler ADC- en NetScaler Gateway-platforms, die grote ondernemingen en overheden gebruiken voor het leveren van applicaties en VPN-connectiviteit.

De fout wordt beschreven als een kwetsbaarheid voor het vrijgeven van gevoelige informatie, waardoor niet-geauthenticeerde aanvallers op afstand grote hoeveelheden gegevens uit het geheugen van een kwetsbaar Citrix-apparaat kunnen extraheren, inclusief gevoelige sessietokens (vandaar de naam CitrixBleed). Het exploiteren van de bug vergt weinig moeite of complexiteit, waardoor hackers legitieme sessietokens kunnen kapen en gebruiken om het netwerk van een slachtoffer te compromitteren zonder dat ze een wachtwoord nodig hebben of twee factoren hoeven te gebruiken.

Citrix bracht patches uit, maar een week later, op 17 oktober, updatete het zijn advies om aan te geven dat het uitbuiting in het wild had waargenomen.

De eerste slachtoffers waren onder meer professionele diensten, technologie en overheidsorganisaties, volgens incidentresponsgigant Mandiant , dat zei dat het met onderzoek begon nadat het al eind augustus meerdere gevallen van succesvolle exploitatie had ontdekt voordat Citrix patches beschikbaar stelde.

Robert Knapp, hoofd incidentrespons bij cyberbeveiligingsbedrijf Rapid7 – dat ook begon de bug te onderzoeken na het detecteren van mogelijke exploitatie van de bug in het netwerk van een klant, zei het bedrijf ook aanvallers te hebben waargenomen die zich richtten op organisaties in de gezondheidszorg, de productie en de detailhandel.

Rapid7-incidentresponders hebben tijdens ons onderzoek zowel zijdelingse bewegingen als gegevenstoegang waargenomen, aldus Knapp, wat erop wijst dat hackers na een aanvankelijke compromittering bredere toegang kunnen krijgen tot het netwerk en de gegevens van slachtoffers.

Slachtoffers van grote namen

Dat meldt cybersecuritybedrijf ReliaQuest vorige week het heeft bewijs dat ten minste vier bedreigingsgroepen – die het niet heeft genoemd – gebruik maken van CitrixBleed, waarbij ten minste één groep het aanvalsproces automatiseert.

uss adreswijziging

Een van de bedreigingsactoren is vermoedelijk de aan Rusland gelinkte LockBit-ransomwarebende, die al de verantwoordelijkheid heeft opgeëist voor verschillende grootschalige inbreuken waarvan wordt aangenomen dat ze verband houden met CitrixBleed.

Beveiligingsonderzoeker Kevin Beaumont schreef in een blogpost Dinsdag hackte de LockBit-bende vorige week de Amerikaanse tak van de Industrial and Commercial Bank of China (ICBC) – naar verluidt de grootste kredietverstrekker ter wereld qua activa – door een ongepatchte Citrix Netscaler-box in gevaar te brengen. De storing verstoorde het vermogen van de bankgigant om transacties af te handelen. Dat meldt Bloomberg dinsdag , moet het bedrijf de normale activiteiten nog herstellen.

ICBC, dat naar verluidt de losgeldeis van LockBit betaalde, weigerde de vragen van Gadget Insider te beantwoorden, maar zei in een verklaring op zijn website dat het een ransomware-aanval had meegemaakt die resulteerde in verstoring van bepaalde systemen.

hoeveel verdienen deurdashers per uur?

Een LockBit-vertegenwoordiger vertelde Reuters maandag dat ICBC losgeld betaalde – deal gesloten, maar geen bewijs leverde van hun claim. LockBit ook vertelde malware-onderzoeksgroep vx-underground dat ICBC losgeld betaalde, maar weigerde te zeggen hoeveel.

Beaumont zei in een bericht op Mastodon dat Boeing ten tijde van de LockBit-inbraak ook over een ongepatcht Citrix Netscaler-systeem beschikte, daarbij verwijzend naar gegevens van Shodan, een zoekmachine voor blootgestelde databases en apparaten.

Boeing-woordvoerder Jim Proulx vertelde Gadget Insider eerder dat het bedrijf op de hoogte is van een cyberincident dat gevolgen heeft voor onderdelen van onze onderdelen- en distributieactiviteiten, maar geen commentaar wil geven op de vermeende publicatie van gestolen gegevens door LockBit.

Allen & Overy, een van de grootste advocatenkantoren ter wereld, draaide ook een getroffen Citrix-systeem ten tijde van het compromis, merkte Beaumont op. LockBit heeft zowel Boeing als Allen & Overy toegevoegd aan zijn dark web-leksite, die ransomware-bendes doorgaans gebruiken om slachtoffers af te persen door bestanden te publiceren, tenzij de slachtoffers losgeld betalen.

Allen & Overy-woordvoerder Debbie Spitz bevestigde dat het advocatenkantoor een data-incident heeft meegemaakt en zei dat het aan het beoordelen was welke gegevens precies zijn beïnvloed, en dat we de getroffen cliënten informeren.

De Medusa-ransomwarebende maakt ook gebruik van CitrixBleed om gerichte organisaties te compromitteren. zei Beaumont .

We verwachten dat CVE-2023-4966 vanaf 2023 een van de meest routinematig uitgebuite kwetsbaarheden zal zijn, vertelde Caitlin Condon, hoofd kwetsbaarheidsonderzoek bij Rapid7, aan Gadget Insider.

Hackers misbruiken Citrix zero-day om Amerikaanse kritieke infrastructuur aan te vallen