Gli affiliati del ransomware LockBit stanno attivamente sfruttando una grave vulnerabilità di sicurezza recentemente rivelata nei dispositivi Citrix NetScaler per il controllo delle applicazioni web (ADC) e nei Gateway. Questa criticità, nota come “Citrix Bleed”, permette agli attaccanti di eludere i requisiti di password e l’autenticazione a più fattori (MFA), portando al dirottamento di sessioni utente legittime.
Sicurezza compromessa: impatto di Citrix Bleed
La vulnerabilità, tracciata come CVE-2023-4966 e con un punteggio CVSS di 9.4, è stata affrontata da Citrix il mese scorso, ma non prima di essere stata sfruttata come zero-day, almeno da agosto 2023. Mandiant di Google ha rivelato che quattro gruppi diversi non categorizzati (UNC) sono coinvolti nell’exploit di CVE-2023-4966, prendendo di mira vari settori industriali nelle Americhe, EMEA e APJ.
LockBit e la minaccia crescente
LockBit, l’ultimo attore minaccioso ad unirsi a questa ondata di sfruttamento, è stato osservato nell’utilizzo della falla per eseguire script PowerShell e distribuire strumenti di gestione e monitoraggio remoto (RMM) come AnyDesk e Splashtop per attività successive. Questo sottolinea il fatto che le vulnerabilità nei servizi esposti continuano ad essere un vettore di ingresso primario per gli attacchi ransomware.
Tendenze nel ransomware Linux
Parallelamente, Check Point ha rilasciato uno studio comparativo sugli attacchi ransomware che prendono di mira Windows e Linux, notando che la maggior parte delle famiglie che irrompono in Linux utilizzano pesantemente la libreria OpenSSL insieme agli algoritmi ChaCha20/RSA e AES/RSA. “Il ransomware Linux è chiaramente mirato a organizzazioni medie e grandi rispetto alle minacce Windows, che sono molto più generali”, ha detto il ricercatore di sicurezza Marc Salinas Fernandez.
Semplificazione e stealth
L’esame di varie famiglie di ransomware che prendono di mira Linux “rivela una tendenza interessante verso la semplificazione, dove le loro funzionalità principali sono spesso ridotte a semplici processi di crittografia, lasciando il resto del lavoro a script e strumenti di sistema legittimi”. Questo approccio minimalista non solo rende queste famiglie di ransomware fortemente dipendenti da configurazioni e script esterni, ma le rende anche più facili da passare inosservate.
Citrix Bleed: allarme Sicurezza e Azioni Necessarie
Citrix ha recentemente rilasciato un promemoria cruciale agli amministratori di sistema, sottolineando la necessità di adottare misure aggiuntive dopo aver applicato le patch ai propri dispositivi NetScaler per contrastare la vulnerabilità “Citrix Bleed” (CVE-2023-4966). Oltre all’applicazione degli aggiornamenti di sicurezza necessari, è fondamentale eliminare tutte le sessioni utente precedenti e terminare quelle attive. Questo passaggio è essenziale perché gli attaccanti che sfruttano attivamente Citrix Bleed hanno rubato token di autenticazione, consentendo loro di accedere ai dispositivi compromessi anche dopo l’applicazione della patch.
Citrix ha corretto la falla all’inizio di ottobre, ma Mandiant ha rivelato che la vulnerabilità è stata sfruttata come zero-day almeno dalla fine di agosto 2023. Mandiant ha anche avvertito che le sessioni NetScaler compromesse persistono dopo l’applicazione della patch, permettendo agli attaccanti di muoversi lateralmente nella rete o compromettere altri account a seconda dei permessi degli account compromessi.
Citrix ha fornito comandi specifici per eliminare tutte le sessioni attive e persistenti. Questo è il secondo avviso dell’azienda in tal senso.
Boeing ha condiviso informazioni su come LockBit ha violato la sua rete in ottobre utilizzando un exploit Citrix Bleed, portando al furto di 43GB di dati dai sistemi di Boeing, successivamente trapelati sul dark web dopo che l’azienda ha rifiutato di soddisfare le richieste del gruppo ransomware.
CISA ha anche pubblicato un rapporto di analisi del malware, rivelando che oltre 10.000 server Citrix esposti su Internet erano vulnerabili agli attacchi Citrix Bleed una settimana fa.