Kuruluşlar aktif ve aktif bir duruma yanıt vermek için çabalıyorlar. Devam eden bir güvenlik açığının hedefli kullanımı Citrix NetScaler ADC ve NetScaler Gateway’de kullanıcıları oturum ele geçirme ve diğer tehdit etkinliklerine maruz bırakabilecek.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, kuruluşlardan yamayı uygulamalarını, kötü niyetli faaliyetleri tespit etmelerini ve olumlu bulguları kuruma bildirmelerini istiyor. CitrixBleed olarak adlandırılan güvenlik açığından yararlanma, 10 Ekim’de yayınlanan bir yamaya rağmen birkaç haftadır arttı.
Güvenlik açığı araştırması başkanı Caitlin Condon’a göre Rapid7’deki araştırmacılar CitrixBleed ile ilgili “sürekli bir uzlaşma akışı görmeye devam ediyor”.
“Condon, e-posta yoluyla şunları söyledi: Kuruluşlar aktif olarak istismar edilen güvenlik açıklarını hızlı bir şekilde düzeltmeye çalışıyor gibi görünüyor.
Rapid7 araştırmacıları perakende, sağlık ve üretimi hedefleyen faaliyetler gördü. Soruşturmalar aktörlerin her ikisiyle de meşgul olduğunu gösterdi yanal hareket ve veri erişimiCondon’a göre.
Güvenlik araştırmacısı Dominic Alvieri Lockbit tehdit grubunu bildirme şu anda potansiyel olarak CitrixBleed’den yararlanmaya dahil oluyor.
LockBit, Boeing’e karşı rapor edilen tehdit faaliyetleriyle ilişkilendirildi ancak saldırganların Citrix istismarını Boeing verilerine erişmek için kullanıp kullanmadıkları henüz bilinmiyor.
Bir Boeing sözcüsü yaptığı açıklamada, “Parça ve dağıtım işimizin unsurlarını etkileyen bir siber olayın farkındayız” dedi. “Bu konu uçuş emniyetini etkilemez. Olayı aktif olarak araştırıyoruz ve kolluk kuvvetleri ve düzenleyici makamlarla koordinasyon halindeyiz. Müşterilerimizi ve tedarikçilerimizi bilgilendiriyoruz.”
Şirket geçen hafta saldırıyı araştırdığını açıklamıştı.
Güvenlik açığına yönelik bir düzeltme ekine rağmen, CVE-2023-4966Citrix 23 Ekim’de şunu belirtti: Oturum ele geçirme ve hedefli saldırılara ilişkin güvenilir raporlar.
Güvenlik araştırmacıları, kitlesel istismarın, yavaş yama tepkisi ve yeterli koruma sağlamayan yamaların bir kombinasyonu olabileceğini söylüyor.
“[System administrators] Tehdit aktörlerinin bu istismardan yararlanma fırsatını reddetmek için muhtemelen ihtiyaç duyduğumuz oranda yama yapmıyoruz” dedi. Dray Agha, Huntress’in Birleşik Krallık tehdit operasyonları müdürü. “Fakat spekülatif olarak, yamaların kaçınılabilir olduğunu ve rakiplerin, yamandığını düşündüğümüz bir kusuru yeniden kullanmak için araçlarında yapmaları gereken küçük ayarlamaları tespit edebildiklerini defalarca gördüğümüzü belirtmekte fayda var.”
Mandiant kuruluşlara acil uyarılarda bulundu önceki tüm oturumları sil Geçen ay, tehdit aktörleri yamayı atlayabildiğinden ve daha önce kimliği doğrulanan oturumlar hala devam edebildikten sonra.
Mandiant gözlemlenen oturum devralmaları Olay müdahale firması geçen hafta, tehdit aktörlerinin şifreleri ve çok faktörlü kimlik doğrulamayı atlayabildiğini söyledi.
Palo Alto Networks Birim 42’deki araştırmacılar şunları kaydetti: önceki raporlar Bu istismar faaliyeti, Python komut dosyalarının istismar için fidye yazılımı bağlı kuruluşlarına dağıtılmasını içeriyordu.
Palo Alto Networks araştırmacıları, ele geçirilen kullanıcıların “keşif komutları yürüttüğünü ve ek takımların bırakılması [virtual desktop infrastructure] ev sahipleri.”