Ransomware LockBit sfrutta Citrix Bleed: 10.000 Server a rischio

da Redazione
0 commenti 2 minuti leggi
citrix

Gli attacchi ransomware di LockBit stanno sfruttando una vulnerabilitĆ  nota come Citrix Bleed (CVE-2023-4966) per infiltrarsi nei sistemi di grandi organizzazioni, rubare dati e criptare file. Nonostante Citrix abbia reso disponibili delle correzioni per CVE-2023-4966 piĆ¹ di un mese fa, migliaia di endpoint esposti a Internet continuano a utilizzare apparecchiature vulnerabili, molti dei quali negli Stati Uniti.

Attacchi di alto profilo

Il ricercatore di minacce Kevin Beaumont ha monitorato attacchi contro varie aziende, tra cui la Industrial and Commercial Bank of China (ICBC), DP World, Allen & Overy e Boeing.

Annunci
image 169 1
Ransomware LockBit sfrutta Citrix Bleed: 10.000 Server a rischio 7

Queste aziende avevano un elemento in comune: server Citrix esposti e vulnerabili al difetto Citrix Bleed, che il gruppo ransomware LockBit sta sfruttando negli attacchi. Il Wall Street Journal ha confermato, attraverso unā€™email del Dipartimento del Tesoro degli Stati Uniti inviata a selezionati fornitori di servizi finanziari, che LockBit era responsabile dellā€™attacco informatico allā€™ICBC, realizzato sfruttando la falla Citrix Bleed. Se LockBit ha usato questa vulnerabilitĆ  per violare una societĆ , ĆØ probabile che abbia violato Boeing e DP World in modo simile.

Superficie di attacco massiccia

Al momento della stesura, piĆ¹ di 10.400 server Citrix sono vulnerabili a CVE-2023-4966, secondo quanto riferito dal ricercatore giapponese di minacce Yutaka Sejiyama e condiviso con BleepingComputer. La maggior parte di questi server, 3.133, si trova negli Stati Uniti, seguiti da 1.228 in Germania, 733 in Cina, 558 nel Regno Unito, 381 in Australia, 309 in Canada, 301 in Francia, 277 in Italia, 252 in Spagna, 244 nei Paesi Bassi e 215 in Svizzera. Le analisi di Sejiyama hanno rivelato server vulnerabili in grandi e critiche organizzazioni in questi e molti altri paesi, tutti ancora non corretti piĆ¹ di un mese dopo la divulgazione pubblica del difetto critico.

Dettagli su Citrix Bleed

Citrix Bleed ĆØ stato divulgato il 10 ottobre come un problema di sicurezza critico che colpisce Citrix NetScaler ADC e Gateway, consentendo lā€™accesso a informazioni sensibili del dispositivo. Mandiant ha riferito che gli attori delle minacce hanno iniziato a sfruttare Citrix Bleed alla fine di agosto, quando la falla di sicurezza era ancora un zero day. Negli attacchi, gli hacker hanno utilizzato richieste HTTP GET per ottenere i cookie di sessione Netscaler AAA dopo la fase di autenticazione multi-fattore (MFA). Citrix ha esortato gli amministratori a proteggere i sistemi da questi attacchi a bassa complessitĆ  e senza interazione. Il 25 ottobre, la societĆ  di gestione dellā€™attacco superficiale esterno AssetNote ha rilasciato una prova di concetto che dimostra come i token di sessione possano essere rubati.

Si puĆ² anche come

MatriceDigitale.it – Copyright Ā© 2024, Livio Varriale – Registrazione Tribunale di Napoli nĀ° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byĀ Giuseppe Ferrara