Bilgisayar korsanları, son kitlesel siber saldırı dalgasında 'CitrixBleed' hatasını kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Bilgisayar korsanları, son kitlesel siber saldırı dalgasında 'CitrixBleed' hatasını kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Beaumont Mastodon’daki bir yazıda şöyle dedi Boeing’in ayrıca LockBit ihlali sırasında yama yapılmamış bir Citrix Netscaler sistemine sahip olduğu ve açığa çıkan veritabanları ve cihazlar için bir arama motoru olan Shodan’dan alınan verilere atıfta bulunuldu Hatanın istismar edilmesi çok az çaba veya karmaşıklık gerektiriyor ve bilgisayar korsanlarının bir şifreye ihtiyaç duymadan veya iki faktör kullanmadan kurbanın ağını tehlikeye atmak için meşru oturum belirteçlerini ele geçirmesine ve kullanmasına olanak tanıyor

Binlerce başka kuruluş bu güvenlik açığına karşı yama yapılmamış durumda ve resmi olarak şu şekilde takip ediliyor: CVE-2023-4966 ve “CitrixBleed” olarak adlandırıldı

Boeing sözcüsü Jim Proulx daha önce TechCrunch’a şirketin “parçalarımızı ve dağıtım işimizi etkileyen bir siber olaydan haberdar olduğunu” ancak LockBit’in çalıntı verileri yayınladığı iddiası hakkında yorum yapmayacağını söylemişti Kesinti, bankacılık devinin işlemleri tamamlama kabiliyetini sekteye uğrattı LockBit, fidye yazılımı çetelerinin kurbanlar fidye talebinde bulunmadıkça dosyaları yayınlayarak kurbanları şantaj yapmak için kullandığı karanlık web sızıntı sitesine hem Boeing’i hem de Allen & Overy’yi ekledi

Robert Knapp, siber güvenlik firması Rapid7’nin olay müdahale başkanı

Tehdit aktörlerinden birinin, CitrixBleed ile ilişkili olduğuna inanılan çok sayıda büyük ölçekli ihlalin sorumluluğunu zaten üstlenen Rusya bağlantılı LockBit fidye yazılımı çetesi olduğuna inanılıyor LockBit ayrıca kötü amaçlı yazılım araştırma grubu vx-underground’a söyledi ICBC’nin fidye ödediğini ancak ne kadar olduğunu söylemeyi reddettiğini söyledi Beaumont dedi Etkilenen sistemlerin çoğunluğu Kuzey Amerika’da bulunuyor

CitrixBleed nedir?

10 Ekim’de ağ ekipmanı üreticisi Citrix, büyük kuruluşların ve hükümetlerin uygulama dağıtımı ve VPN bağlantısı için kullandığı NetScaler ADC ve NetScaler Gateway platformlarının şirket içi sürümlerini etkileyen güvenlik açığını açıkladı

Bir LockBit temsilcisi Pazartesi günü Reuters’e söyledi ICBC “fidye ödedi – anlaşma tamamlandı” ancak iddialarına dair kanıt sunmadı olaya müdahale devi Mandiant’a göreCitrix’in yamaları kullanıma sunmasından önce Ağustos ayı sonlarında “birden fazla başarılı istismar örneğini” keşfettikten sonra araştırmaya başladığını söyledi ABD hükümetinin siber güvenlik kurumu CISA da alarm verdi federal kurumları yama yapmaya çağıran bir danışma belgesinde Aktif olarak sömürülen kusura karşı

Şu ana kadar bildiklerimiz bunlar





genel-24

Medusa fidye yazılımı çetesi aynı zamanda hedeflenen organizasyonları tehlikeye atmak için CitrixBleed’den de yararlanıyor Salı günü Bloomberg’e görefirma henüz normal faaliyetlerine geri dönmedi kar amacı gütmeyen tehdit izleyici Shadowserver Vakfı

Allen & Overy sözcüsü Debbie Spitz, hukuk firmasının bir “veri olayı” yaşadığını doğruladı ve “tam olarak hangi verilerin etkilendiğini değerlendiriyoruz ve etkilenen müşterileri bilgilendiriyoruz” dedi

İlk kurbanlar arasında profesyonel hizmetler, teknoloji ve devlet kurumları yer alıyordu

Citrix yamalar yayınladı, ancak bir hafta sonra 17 Ekim’de tavsiyelerini vahşi doğada sömürü gözlemlediğini bildirecek şekilde güncelledi

Beaumont, dünyanın en büyük hukuk firmalarından biri olan Allen & Overy’nin de uzlaşma sırasında etkilenen bir Citrix sistemi işlettiğini belirtti

Kusur, kimliği doğrulanmamış uzaktaki saldırganların, hassas oturum belirteçleri de dahil olmak üzere (bu nedenle “CitrixBleed” adı) savunmasız bir Citrix cihazının belleğinden büyük miktarlarda veri almasına olanak tanıyan hassas bir bilginin açığa çıkması güvenlik açığı olarak tanımlanıyor hatayı araştırmaya başladım Bir müşterinin ağındaki hatanın potansiyel olarak istismar edildiğini tespit ettikten sonra şirketin sağlık, üretim ve perakende alanlarındaki kuruluşları hedef alan saldırganları da gözlemlediğini söyledi

Rapid7’nin güvenlik açığı araştırması başkanı Caitlin Condon, TechCrunch’a “CVE-2023-4966’nın 2023’ten itibaren rutin olarak en çok yararlanılan güvenlik açıklarından biri olmasını bekliyoruz” dedi

LockBit’in fidye talebini ödediği bildirilen ICBC, TechCrunch’ın sorularını yanıtlamayı reddetti ancak web sitesinde yaptığı açıklamada “belirli sistemlerin bozulmasına yol açan bir fidye yazılımı saldırısına maruz kaldığını” söyledi

Ünlü kurbanlar

Siber güvenlik şirketi ReliaQuest şunları söyledi: geçen hafta Adını vermediği en az dört tehdit grubunun CitrixBleed’den yararlandığına ve en az bir grubun saldırı sürecini otomatikleştirdiğine dair kanıtlar var

Knapp, “Rapid7 olay müdahale ekipleri, araştırmalarımız sırasında hem yanal hareketi hem de veri erişimini gözlemledi” dedi ve bilgisayar korsanlarının, ilk uzlaşmanın ardından kurbanların ağına ve verilerine daha geniş erişim elde edebildiklerini öne sürdü


Fidye yazılımı çetesi büyük firmaların hacklenmesinden pay alırken, Citrix müşterilerinden yama yapmaları istendi

Güvenlik araştırmacıları diyor ki Bilgisayar korsanları, dünya çapındaki büyük kuruluşlara karşı felç edici siber saldırılar başlatmak için Citrix NetScaler sistemlerindeki kritik dereceli bir güvenlik açığından toplu olarak yararlanıyor

Bu siber saldırılara şu ana kadar havacılık devi Boeing; dünyanın en büyük bankası ICBC; dünyanın en büyük liman işletmecilerinden biri olan DP World; Raporlara göre uluslararası hukuk firması Allen & Overy

Güvenlik araştırmacısı Kevin Beaumont bir blog yazısında şunu yazdı: Salı günü, LockBit çetesi geçen hafta, yama yapılmamış bir Citrix Netscaler kutusunu tehlikeye atarak, varlıklar açısından dünyanın en büyük kredi veren kuruluşu olduğu söylenen Çin Sanayi ve Ticaret Bankası’nın (ICBC) ABD şubesine saldırdı