كشفت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، إلى جانب مكتب التحقيقات الفيدرالي (FBI) ومركز الأمن السيبراني الأسترالي (ACSC)، عن تفاصيل متعمقة حول كيفية عصابة LockBit لبرامج الفدية تمكنت من استغلال ما يسمى بثغرة Citrix Bleed – التي يتم تتبعها باسم CVE-2023-4966 – للحصول على وصول أولي إلى أنظمة وحدة قطع الغيار والتوزيع التابعة لشركة بوينغ العملاقة للطيران.
تمت مشاركة المعلومات طوعًا من قبل Boeing وتم نشرها في استشارة مشتركة للمساعدة في زيادة الوعي بنطاق وتأثير Citrix Bleed، الذي يؤثر على التحكم في تسليم تطبيقات الويب Citrix NetScaler وأجهزة NetScaler Gateway، ووفقًا لـ CISA، تم استغلالها من قبل الجهات الفاعلة في الدولة القومية وكذلك LockBit.
قالت CISA في تقريرها: “يسمح Citrix Bleed للجهات الفاعلة في مجال التهديد بتجاوز متطلبات كلمة المرور والمصادقة متعددة العوامل (MFA)، مما يؤدي إلى نجاح اختطاف جلسات جلسات المستخدم المشروعة على التحكم في تسليم تطبيقات الويب Citrix NetScaler (ADC) وأجهزة البوابة”.
“من خلال الاستيلاء على جلسات المستخدم المشروعة، تحصل الجهات الفاعلة الضارة على أذونات مرتفعة لجمع بيانات الاعتماد، والتحرك أفقيًا، والوصول إلى البيانات والموارد. ونظرًا لسهولة الاستغلال، تتوقع CISA والمنظمات المؤلفة رؤية استغلال واسع النطاق لثغرة Citrix في خدمات البرامج غير المصححة عبر الشبكات الخاصة والعامة.
في مؤتمر صحفي افتراضي حضره عنوان شقيقة Computer Weekly TechTarget Security، أشاد إريك جولدستين، مساعد المدير التنفيذي لـ CISA، بشركة بوينج لصراحتها وأخبر المراسلين أن المعلومات التي شاركتها مكنت الوكالات من وضع توجيهات أكثر فعالية بكثير.
تمكنت CISA أيضًا من اتخاذ خطوات لمساعدة الضحايا الآخرين بناءً على هذه المعلومات. وقال غولدستين: “لقد أبلغنا ما يقرب من 300 منظمة يبدو أنها تقوم بتشغيل حالات ضعيفة للأجهزة المتضررة حتى تتمكن من التخفيف من نقاط الضعف لديها قبل حدوث الضرر”.
شهد الهجوم على Boeing قيام الشركة التابعة لشركة LockBit بالاستفادة من Citrix Bleed للحصول على حق الوصول إلى ملفات تعريف الارتباط الصالحة لجلسة NetScaler وإنشاء جلسة مصادقة داخل جهاز NetScaler دون الحاجة إلى اسم مستخدم أو كلمة مرور أو رمز MFA.
تم ذلك عن طريق إرسال طلب HTTP GET باستخدام رأس HTTP Hoster مُصمم خصيصًا، مما تسبب في قيام جهاز NetScaler الضعيف بإرجاع معلومات ذاكرة النظام، بما في ذلك ملف تعريف الارتباط الضروري.
بعد ذلك، قامت LockBit بتنفيذ برنامج PowerShell النصي وإسقاط عدد من أدوات الإدارة والمراقبة عن بعد بما في ذلك AnyDesk وSplashtop من أجل إدارة أنشطة المتابعة الخاصة بهم.
بعد تسمية شركة Boeing وفضحها على موقع التسريب العام الخاص بها، قامت LockBit بذلك لاحقًا تسربت حوالي 40GB البيانات المسروقة من أنظمة المنظمة. وأوضحت بوينغ أن الحادث لم يؤثر في أي وقت على سلامة الطيران.
تشجع CISA ومكتب التحقيقات الفيدرالي وACSC مسؤولي الشبكات على تطبيق إجراءات التخفيف الواردة في تقريرهم، ولا سيما عزل أي أجهزة NetScaler، والبحث عن الأنشطة الضارة على شبكاتهم باستخدام طرق الكشف الموضحة ومؤشرات التسوية. وكلها واردة في التقرير.
هذا بالإضافة إلى ذلك لتطبيق التصحيحات اللازمة من Citrix، والتي كانت متاحة الآن لأكثر من شهر.
