Dalış Özeti:
- Kriminal tehdit grupları ve ulus devlet aktörleri, saldırıları başlatmak için Citrix Netscaler ADC ve Netscaler Gateway’deki kritik bir güvenlik açığından yararlanıyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı ve FBI Salı günü uyardı.
- Federal yetkililere göre, LockBit 3.0’a bağlı kuruluşlar, şüpheli bir fidye yazılımı saldırısının parçası olarak Boeing’in parçalarına ve dağıtım birimine erişim sağlamak ve verilere sızmak için (araştırmacılar tarafından CitrixBleed olarak adlandırılan) güvenlik açığından yararlandı.
- CISA, onun aracılığıyla fidye yazılımı güvenlik açığı uyarısı programı, neredeyse 300 kuruluşa, cihazların savunmasız örneklerini çalıştırdıklarını ve saldırıya uğramadan önce hafifletici önlemler almaları gerektiğini bildirdi, Eric Goldstein, CISA siber güvenlikten sorumlu yönetici yardımcısıgazetecilerle yapılan bir konferans görüşmesi sırasında söyledi.
Dalış Bilgisi:
Boeing saldırısı sonuncusu oldu sömürü faaliyeti dalgası güvenlik açığı yaz aylarında ortaya çıktığından beri. Citrix, güvenlik açığı için şu şekilde listelenen bir yama yayınladı: CVE-2023-4966Ekim başında, ancak daha önce herhangi bir istismardan haberdar olmadığını iddia ediyor.
Mandiant’taki araştırmacılar, Ağustos ayından bu yana sömürüyü gözlemlediklerini söyledi. Geçtiğimiz ay Mandiant, Citrix müşterilerini önceki oturumları silmeleri konusunda uyarmıştı çünkü tehdit grupları yamanın yayınlanmasından önce istismar edilen sistemlere hâlâ erişebiliyordu.
Google Cloud birimi Mandiant Consulting’in CTO’su Charles Carmakal’a göre, CitrixBleed ile bağlantılı son fidye yazılımı saldırıları dalgası doğası gereği fırsatçıydı.
Carmakal, e-posta yoluyla şunları söyledi: “Temel olarak, savunmasız bir sunucusu olan herkes, tehdit aktörlerine daha sonra saldırılarda yeniden kullanılabilecek oturum kimliklerini verecek bir istismara maruz kalacaktır.” “Fakat finansal motivasyona sahip aktörler büyük ihtimalle çok yönlü gasp operasyonlarını öncelikle en büyük organizasyonlara odaklıyorlar ya da algıladıkları mağdurlar bir gasp talebi ödeyebilecek.”
Federal yetkililer, CitrixBleed’in bilgisayar korsanlarının gerekli şifreleri ve çok faktörlü kimlik doğrulamayı atlamalarına izin vererek meşru kullanıcı oturumlarını ele geçirmelerine olanak sağladığını söyledi. Federal yetkililer ayrıca bir açıklama yayınladı. kullanım tekniklerinin detaylı analizi saldırılarda kullanıldı.
MS-ISAC güvenlik operasyonları ve istihbarattan sorumlu başkan yardımcısı Randy Rose, tehdit gruplarının “CitrixBleed’i küçük ve orta ölçekli işletmelere ve yerel hükümet kuruluşlarına karşı kullanmaya çalıştıklarına” dair kanıtlar bulunduğunu söyledi.
Bu kuruluşların çoğu, büyük şirketler ve devlet kurumlarıyla karşılaştırıldığında, yamaları tam olarak zamanında uygulayacak kaynaklara sahip değil.
Citrix, Netscaler müşterilerini en son sürümlere yükseltme yapmaya ve güvenlik günlüklerinin incelenmesi de dahil olmak üzere önerilen azaltma adımlarını uygulamaya çağırdı. Pazartesi günü yayınlanan bir blog yazısında.
Güvenlik araştırmacısı Kevin Beaumont CitrixBleed’i birkaç büyük saldırıyla ilişkilendirdi Son haftalarda bazı perakendecilerin Kara Cuma öncesinde korumasız kaldığı konusunda uyarıyor.
CISA ve FBI, Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi ve Avustralya Sinyaller Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi ile birlikte tavsiye belgesini yayınladı.