احتمال أن يكون هذا هو الحال قد أثير لأول مرة من قبل الباحث الأمني والمعلق كيفن بومونت عبر موقع التواصل الاجتماعي Mastodon يوم الخميس 9 نوفمبر. نشر بومونت أدلة مستمدة من Shodan تكشف أن ICBC كان يدير جهاز Citrix NetScaler لم يتم تصحيحه ضد CVE-2023-4966.
بحسب ال وول ستريت جورنال، التي كانت أول من أبلغ عن آخر التطورات بعد مراجعة المذكرة، أخبرت وزارة الخزانة الصناعة أنها لم تثبت ذلك بشكل كامل بعد CVE-2023-4966وكانت ثغرة الكشف عن المعلومات والخطأ الثاني الذي تم تتبعه باسم CVE-2023-4967، وهي ثغرة أمنية لرفض الخدمة، هي ناقلات الوصول التي يستخدمها عملاء LockBit. ومع ذلك، يبدو أن السلطات واثقة من أنه سيتم تأكيد ذلك قريبًا.
في أعقاب هجوم الأسبوع الماضيوفقًا لرويترز، كان التعطيل الذي لحق بقدرة البنك الصناعي والتجاري الصيني (ICBC) على القيام بالأعمال التجارية واسع النطاق لدرجة أن الموظفين اضطروا إلى الانتقال إلى خدمات البريد الإلكتروني الخاصة بالملكية، في حين تُركت الوساطة أيضًا مدينة مؤقتًا لبنك الاستثمار BNY Mellon بما يصل إلى 9 مليارات دولار.
وبشكل منفصل، قال شخص يزعم أنه يمثل مصالح كارتل LockBit لوكالة الأنباء أن البنك الصناعي والتجاري الصيني قد دفع فدية. ولم يتم التحقق من صحة هذا الادعاء.
هل يجب أن أقلق بشأن Citrix Bleed؟
المعروف باسم Citrix Bleed، تم تأريخ استغلال اليوم صفر لـ CVE-2023-4966 إلى بداية أغسطس، وتمت إضافته إلى CISA’s نقاط الضعف المستغلة المعروفة (KEV) في 18 أكتوبر، بعد ثمانية أيام من إصدار Citrix لتحديث لإصلاحه.
الباحثين الماندين وأوضح أنه عند استغلاله بنجاح، يمكن للمهاجم استخدام CVE-2023-4966 لاختطاف الجلسات المصادق عليها الحالية وتجاوز إجراءات المصادقة، والأسوأ من ذلك، يمكن أن تستمر هذه الجلسات حتى لو تم نشر تصحيح Citrix.
وقد لاحظ محللوها أيضًا عمليات اختطاف للجلسة، حيث تمت سرقة بيانات الجلسة قبل نشر التصحيح، واستخدامها بعد ذلك من قبل المهاجم.
يمثل اختطاف الجلسة المصادق عليها مشكلة لأنه يمكن أن يؤدي إلى حصول المهاجمين على وصول أوسع إلى المصب بناءً على الأذونات التي تم منحها للهوية أو الجلسة.
ويمكنهم بعد ذلك سرقة بيانات اعتماد إضافية والبدء في التحرك أفقيًا عبر شبكة الضحية لتصعيد امتيازاتهم وتنفيذ حمولات برامج الفدية الخاصة بهم.
وقالت مانديانت إنها شهدت استغلالاً في الخدمات المهنية والتكنولوجيا ومؤسسات القطاع العام على حدٍ سواء.
لم يصل استغلال Citrix Bleed من قبل عصابة إجرامية إلكترونية، على الأقل للمعرفة العامة، إلى نفس مستوى النشاط الذي شوهد بعد التسويات الحاسمة الأخرى، مثل استهداف خلل في أداة MOVEit التابعة لشركة Progress Software والتي هاجمت من خلالها عصابة Cl0op أكثر من ألف شخص. الضحايا.
ومع ذلك، بالنسبة للمستخدمين الذين لم يعالجوا المشكلة بعد، فإن الوقت ينفد الآن بشكل خطير. وإلى جانب البنك الصناعي والتجاري الصيني (ICBC)، يُعتقد الآن أن شركة Citrix Bleed هي التي تقف وراء هجوم LockBit على شركة Boeing. والتي تم الآن نشر البيانات المسروقة منهاوهجوم على شركة محاماة أمريكية بارزة.
قال بول بروتشياني، مستشار الأمن السيبراني في شركة NetScaler ADC: “إن NetScaler ADC يشبه موصل حركة المرور لتطبيقاتك عبر الإنترنت”. WithSecure. “إنه يساعد في إدارة جميع حركة مرور المستخدم الواردة، والتأكد من وصولها إلى التطبيق الصحيح بسرعة وأمان. تشبه بوابة NetScaler حارس ملهى ليلي يتحكم في نقطة الدخول الوحيدة لتطبيقات العمل الخاصة بك.
وقال: “توفر الثغرة إمكانية الوصول إلى تطبيقات سطح المكتب البعيد والبيانات المحمية خلف جدران الحماية الخاصة بالمؤسسات دون إنشاء أي تنبيهات أو سجلات”. “هذا أمر خطير بالفعل.
“تشير التقديرات إلى أن 75% من إجمالي حركة الإنترنت تمر عبر Citrix NetScaler يوميًا، مما يعني أن أي ثغرة أمنية يتم العثور عليها داخل هذه الأجهزة من شأنها أن تضع قوة هائلة في أيدي المهاجم. ولهذا السبب… تم تصنيفها على أنها ثغرة أمنية حرجة، حيث سجلت 9.4 من أصل 10.
وبالنظر إلى سبب عدم إثارة ضجة أكبر بشأن Citrix Bleed بمجرد اكتشافها، قال بروتشياني إن فرق الأمن – وخاصة تلك الموجودة في المؤسسات الكبيرة – كانت تعاني بالفعل تحت وطأة آلاف المشكلات الأخرى.
“يتم استغلال 2% فقط من الثغرات الأمنية لأغراض ضارة، ولا تمتلك حتى البنوك الموارد اللازمة لتصحيح كل الثغرات على الفور، فما هي الثغرات التي تعطيها الأولوية؟ حتى لو اتخذت القرار الصحيح، فإن التصحيح ليس بالأمر السهل، خاصة بالنسبة للمؤسسات الكبيرة مثل البنك الصناعي والتجاري الصيني (ICBC) الذي يقوم بتشغيل أنظمة تكنولوجيا المعلومات المعقدة، والتي، على افتراض أنه تم تحديد كل الأصول المعرضة للخطر، لا يمكن بسهولة فصلها عن الإنترنت لإجراء التصحيح.
ما هو الضعف؟
بحسب سيتريكس، فإن الأعضاء التاليين في عائلة NetScaler معرضون لـ Citrix Bleed.
- NetScaler ADC وبوابة NetScaler 14.1 حتى 14.1-8.50
- NetScaler ADC وبوابة NetScaler 13.1 حتى 13.1-49.15
- NetScaler ADC وبوابة NetScaler 13.0 حتى 13.0-92.19
- NetScaler ADC 13.1-FIPS حتى 13.1-37.164
- NetScaler ADC 12.1-FIPS حتى 12.1-55.300
- NetScaler ADC 12.1-NDcPP حتى 12.1-55.300
لاحظ أيضًا أن الإصدار 12.1 من NetScaler ADC وGateway، الذي وصل إلى نهاية عمره الافتراضي، معرض للخطر أيضًا. ومع ذلك، يتم تغطية العملاء الذين يستخدمون الخدمات السحابية التي تديرها Citrix أو المصادقة التكيفية التي تديرها Citrix.
