.
Citrix Bleed, o bug crítico de divulgação de informações que afeta o NetScaler ADC e o NetScaler Gateway, está agora sob “exploração em massa”, já que milhares de instâncias do Citrix NetScaler permanecem vulneráveis, de acordo com equipes de segurança.
Em 30 de outubro, Shadowserver detectado pouco mais de 5.000 servidores vulneráveis na Internet pública. E na semana passada, GreyNoise observado 137 endereços IP individuais tentando explorar esta vulnerabilidade Citrix.
Citrix divulgado e emitiu um patch pela falha – CVE-2023-4966 – em 10 de outubro.
No entanto, “mesmo que você tenha aplicado o patch e reiniciado, ainda terá um problema, pois os tokens de sessão persistem”. observado observador da infosec Kevin Beaumont, que disse ter rastreado pouco mais 20.000 servidores explorados a partir de sábado.
A Citrix, em um memorando subsequente, repetiu os conselhos de mitigação de outras lojas de segurança e instruiu os clientes a matar todas as sessões ativas e persistentes usando uma série de comandos. Mas a essa altura, os criminosos já estavam alguns passos à frente.
A vulnerabilidade permite que invasores acessem a memória de um dispositivo e, nessa RAM, encontrem tokens de sessão que os malfeitores podem extrair e usar para se passar por um usuário autenticado. Assim, mesmo que o buraco seja corrigido, os tokens copiados permanecerão válidos, a menos que outras medidas sejam tomadas.
Parece que as pessoas estão coletando tokens de sessão como Pokémon
Esta “exploração em massa” inclui pelo menos duas gangues de ransomware, em 30 de outubro, acrescentou Beaumont. Uma dessas equipes está “distribuindo um script python para automatizar a cadeia de ataque”, disse ele. “Essencialmente, você tem uma vulnerabilidade estilo 1998 em sua solução de acesso remoto. Parece que as pessoas estão coletando tokens de sessão como Pokémon.”
Mandiant, na terça-feira, disse que atualmente está rastreando quatro separar grupos não categorizados que exploram a vulnerabilidade em vários setores. Estes incluem serviços jurídicos e profissionais, tecnologia e agências governamentais nas Américas, Europa, Médio Oriente, África e regiões da Ásia-Pacífico, utilizando predominantemente estas quatro ferramentas.
- csvde.exe
- certificadoutil.exe
- local.exe
- nbtscan.exe
“Dada a ampla adoção do Citrix nas empresas em todo o mundo, suspeitamos que o número de organizações afetadas seja muito maior e em vários setores”, escreveu a equipe de inteligência sobre ameaças de propriedade do Google em um blog.
A Mandiant também identificou uma variedade de maneiras de verificar a exploração na rede das organizações. Mas, alertou, os padrões de atividades suspeitas relacionadas ao sequestro de sessão podem diferir de organização para organização, e as técnicas descritas a seguir podem não ser aplicáveis ou viáveis em todos os cenários”.
A empresa de segurança Assetnote publicou na semana passada um análise técnica do bug incluindo um prova de conceito que demonstrou como poderia ser abusado para roubar tokens de sessão, solicitando um aumento na digitalização para endpoints vulneráveis, de acordo com Rapid7.
E enquanto a Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA na última quarta-feira adicionado CVE-2023-4966 em seu Catálogo de Explorações e Vulnerabilidades Conhecidas, ele ainda lista a vulnerabilidade como “desconhecida” na coluna “usada em campanhas de ransomware”.
Mandiant disse anteriormente que os criminosos têm abusado dessa falha para roubar informações corporativas desde o final de agosto.
Embora esses ataques na época estivessem limitados à espionagem cibernética, “prevemos que outros atores de ameaças com motivações financeiras explorarão isso ao longo do tempo”, disse Charles Carmakal, CTO da Mandiant Consulting. disse. E parece que chegou a hora.
Citrix se recusou a responder Strong The Oneperguntas do, incluindo se os clientes relataram o bug sendo explorado por grupos de ransomware. ®
.
