Siber güvenlik ve kolluk kuvvetleri yetkilileri, “Citrix Bleed” olarak da bilinen CVE-2023-4966’nın LockBit 3.0 bağlı kuruluşları tarafından Boeing’in parça ve dağıtım işini ihlal etmek için kullanıldığını ve “diğer güvenilir üçüncü tarafların da kendi organizasyonlarını etkileyen benzer faaliyetler gözlemlediğini” doğruladı. Salı.
Ortak bir siber güvenlik danışma belgesinde, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FBI ve Avustralya Siber Güvenlik Merkezi’nden (ACSC) yetkililer, Boeing tarafından paylaşılan ve derlenen taktikleri, teknikleri, prosedürleri ve uzlaşma göstergelerini (IoC’ler) paylaştılar. diğer araştırmalardan.
Ajanslar, “Kullanım kolaylığı nedeniyle, CISA ve yazar kuruluşlar, Citrix güvenlik açığının hem özel hem de genel ağlardaki yama yapılmamış yazılım hizmetlerinde yaygın şekilde istismar edilmesini görmeyi bekliyor” diye uyardı.
Citrix Bleed aracılığıyla LockBit tarafından ihlal edildi
CVE-2023-4966, Netscaler tarafından Ekim 2023’ün başlarında yamalı ve ayın sonunda kitlesel kullanıma sunuldu. Ayrıca Ağustos 2023’ten bu yana sıfır gün olarak kullanıldığı da ortaya çıktı.
Citrix Bleed, saldırganların mevcut kimlik doğrulamalı oturumları ele geçirerek savunmasız Citrix’in NetScaler web uygulaması dağıtım kontrolü (ADC) ve NetScaler Ağ Geçidi cihazlarındaki parola ve çok faktörlü kimlik doğrulama gereksinimlerini atlamasına olanak tanıyan, istismar edilmesi son derece kolay bir kusurdur.
Güvenlik araştırmacısı Kevin Beaumont’un daha önce belirttiği gibi LockBit saldırganları, Altera, Anydesk, TeamViewer, Action1 ve diğerleri gibi uzaktan erişim araçlarını dağıtarak kalıcı erişim oluşturmak için bu geçici erişimden yararlanıyor.
Kalıcılık sağlandıktan sonra saldırganlar, kimlik bilgilerini toplamak, yatay hareket etmek, veri ve kaynaklara erişmek ve fidye yazılımı dağıtmak için yükseltilmiş izinler almanın yollarını bulur.
Tavsiye belgesi, kuruluşların LockBit kurbanları arasında olup olmadıklarını keşfetmek için arayabilecekleri bir dizi IoC (IP adresleri, etki alanları, (PowerShell) komut dosyaları, araçlar, zamanlanmış görevler, komutlar ve dosya adları) içerir. Aynı zamanda tehdit avcılarına rehberlik eder ve olaylara kapsamlı müdahale için tavsiyeler sunar.
Gelecek için plan yapın
Citrix Bleed’in fidye yazılımı çeteleri de dahil olmak üzere çeşitli tehdit aktörleri tarafından kullanıldığını bir süredir biliyoruz. LockBit, bağlı kuruluşlarının genellikle yüksek profilli hedefleri hedef alması nedeniyle en öne çıkanıdır.
Beaumont, Boeing’in yanı sıra hukuk firması Allen & Overy, Çin Sanayi ve Ticaret Bankası (ICBC) ve Avustralya nakliye şirketi DP World’ün de kurbanlar arasında olduğunu açıkladı (Citrix Bleed aracılığıyla).
“Ağ sınırlarınızı ve riskli ürünlerinizi LockBit kadar bilin” tavsiyesinde bulundu.
“CitrixBleed gibi bir şeyi 24 saat içinde tanımlayıp yamalayabilmeniz gerekiyor; bunu yapamıyorsanız, oluşturduğu risk düzeyi nedeniyle kuruluşunuz için ideal ürün olmama ihtimali çok yüksektir ve buna ihtiyacınız vardır. evinizin mimarisinin amaca uygun olup olmadığını yeniden düşünmek.”