Новости Враг не повержен: живучий баг Citrix Bleed помогает группе Lockbit атаковать новые компании

NewsMaker

I'm just a script
Премиум
13,856
20
8 Ноя 2022
Когда же администраторы наконец обновят свои системы…


u531oc6yj52zj7um89egjwdmqrzxc9z2.jpg


Киберпреступники из группировки Lockbit продолжают эксплуатировать уязвимость Citrix Bleed (CVE-2023-4966) для атак на крупные организации по всему миру. Об этом уже не в первый раз предупреждают эксперты по кибербезопасности.

Citrix Bleed была обнаружена в программном обеспечении NetScaler ADC и Gateway компании Citrix. Она позволяет злоумышленникам обходить многофакторную аутентификацию и получать доступ к сессионным куки пользователей с помощью простых HTTP-запросов. Хотя Citrix выпустила патч более месяца назад, тысячи интернет-ресурсов по-прежнему уязвимы.

Совсем недавно группировка атаковала одну из самых крупных финансовых учреждений Китая — Для просмотра ссылки Войди или Зарегистрируйся (ICBC). По данным исследователя Для просмотра ссылки Войди или Зарегистрируйся , проникнуть в системы организации помогла именно Citrix Bleed.

Изначально известно стало лишь о подробностях атаки на ICBC. Уже потом эксперты Для просмотра ссылки Войди или Зарегистрируйся , что, если хакеры использовали этот баг для взлома одной компании, скорее всего аналогичным образом были атакованы и другие их жертвы. Например, перевозчик DP World, юридическая фирма Allen & Overy и авиастроительная компания Для просмотра ссылки Войди или Зарегистрируйся .

Позже появилось еще одно предположение: скорее всего, эти атаки проводятся не самой LockBit, а ее подразделением или отдельным актором.

LockBit предоставляет множеству партнеров свои продукты по модели «ransomware-as-a-service» (вымогательство как услуга). Аффилированные лица обладают полной свободой действий, используя ПО от LockBit и их проверенные временем тактики.

В настоящее время более 10 000 серверов Citrix остаются уязвимыми для атак. Большинство из них находится в США (3133), Германии (1228), Китае (733), Великобритании (558) и других странах.

Согласно исследованию Mandiant, эксплуатировать Citrix Bleed в качестве 0-day злоумышленники начали еще в августе 2022 года.
 
Источник новости
www.securitylab.ru

Похожие темы