Враг не повержен: живучий баг Citrix Bleed помогает группе Lockbit атаковать новые компании

Когда же администраторы наконец обновят свои системы…


u531oc6yj52zj7um89egjwdmqrzxc9z2.jpg


Киберпреступники из группировки Lockbit продолжают эксплуатировать уязвимость Citrix Bleed (CVE-2023-4966) для атак на крупные организации по всему миру. Об этом уже не в первый раз предупреждают эксперты по кибербезопасности.

Citrix Bleed была обнаружена в программном обеспечении NetScaler ADC и Gateway компании Citrix. Она позволяет злоумышленникам обходить многофакторную аутентификацию и получать доступ к сессионным куки пользователей с помощью простых HTTP-запросов. Хотя Citrix выпустила патч более месяца назад, тысячи интернет-ресурсов по-прежнему уязвимы.

Совсем недавно группировка атаковала одну из самых крупных финансовых учреждений Китая — Промышленно-коммерческий банк (ICBC). По данным исследователя Кевина Бомонта , проникнуть в системы организации помогла именно Citrix Bleed.

Изначально известно стало лишь о подробностях атаки на ICBC. Уже потом эксперты заподозрили , что, если хакеры использовали этот баг для взлома одной компании, скорее всего аналогичным образом были атакованы и другие их жертвы. Например, перевозчик DP World, юридическая фирма Allen & Overy и авиастроительная компания Boeing .

Позже появилось еще одно предположение: скорее всего, эти атаки проводятся не самой LockBit, а ее подразделением или отдельным актором.

LockBit предоставляет множеству партнеров свои продукты по модели «ransomware-as-a-service» (вымогательство как услуга). Аффилированные лица обладают полной свободой действий, используя ПО от LockBit и их проверенные временем тактики.

В настоящее время более 10 000 серверов Citrix остаются уязвимыми для атак. Большинство из них находится в США (3133), Германии (1228), Китае (733), Великобритании (558) и других странах.

Согласно исследованию Mandiant, эксплуатировать Citrix Bleed в качестве 0-day злоумышленники начали еще в августе 2022 года.