Sagen Sicherheitsforscher Hacker nutzen massenhaft eine als kritisch eingestufte Schwachstelle in Citrix NetScaler-Systemen aus, um lähmende Cyberangriffe gegen namhafte Unternehmen auf der ganzen Welt zu starten.
Diese Cyberangriffe betrafen bisher den Luft- und Raumfahrtriesen Boeing; die größte Bank der Welt, ICBC; einer der weltweit größten Hafenbetreiber, DP World; und die internationale Anwaltskanzlei Allen & Overy, Berichten zufolge.
Tausende andere Organisationen sind nach wie vor nicht gegen die Sicherheitslücke gepatcht, die offiziell als gemeldet wird CVE-2023-4966 und erhielt den Namen „CitrixBleed“. Demnach befinden sich die meisten betroffenen Systeme in Nordamerika gemeinnütziger Bedrohungstracker Shadowserver Foundation. Auch die Cybersicherheitsbehörde CISA der US-Regierung hat Alarm geschlagen in einer Empfehlung, in der die Bundesbehörden zum Patchen aufgefordert werden gegen den aktiv ausgenutzten Fehler.
Folgendes wissen wir bisher.
Was ist CitrixBleed?
Am 10. Oktober hat der Netzwerkausrüster Citrix die Schwachstelle offengelegt, die On-Premise-Versionen seiner NetScaler ADC- und NetScaler Gateway-Plattformen betrifft, die große Unternehmen und Regierungen für die Anwendungsbereitstellung und VPN-Konnektivität nutzen.
Bei der Schwachstelle handelt es sich um eine Sicherheitslücke zur Offenlegung sensibler Informationen, die es entfernten, nicht authentifizierten Angreifern ermöglicht, große Datenmengen aus dem Speicher eines anfälligen Citrix-Geräts zu extrahieren, einschließlich sensibler Sitzungstoken (daher der Name „CitrixBleed“). Die Ausnutzung des Fehlers erfordert wenig Aufwand und Komplexität , was es Hackern ermöglicht, legitime Sitzungstoken zu kapern und zu nutzen, um das Netzwerk eines Opfers zu kompromittieren, ohne dass ein Passwort erforderlich ist oder Zwei-Faktor-Methoden verwendet werden müssen.
Citrix veröffentlichte Patches, aktualisierte jedoch eine Woche später, am 17. Oktober, seine Empfehlung und teilte mit, dass es eine Ausnutzung in freier Wildbahn beobachtet habe.
Zu den ersten Opfern zählten professionelle Dienstleistungen, Technologie- und Regierungsorganisationen. laut dem Incident-Response-Riesen Mandiantdas mit der Untersuchung begann, nachdem es bereits Ende August „mehrere Fälle erfolgreicher Ausnutzung“ entdeckt hatte, bevor Citrix Patches zur Verfügung stellte.
Robert Knapp, Leiter der Incident Response beim Cybersicherheitsunternehmen Rapid7 – das auch begann mit der Untersuchung des Fehlers Nachdem das Unternehmen eine mögliche Ausnutzung des Fehlers im Netzwerk eines Kunden entdeckt hatte, habe es auch Angreifer beobachtet, die es auf Organisationen im Gesundheitswesen, in der Fertigung und im Einzelhandel abgesehen hätten.
„Die Einsatzkräfte von Rapid7 haben im Verlauf unserer Untersuchungen sowohl seitliche Bewegungen als auch Datenzugriffe beobachtet“, sagte Knapp und deutete an, dass Hacker nach einer anfänglichen Kompromittierung in der Lage seien, einen umfassenderen Zugriff auf das Netzwerk und die Daten der Opfer zu erlangen.
Berühmte Opfer
Das sagte das Cybersicherheitsunternehmen ReliaQuest letzte Woche Es gibt Hinweise darauf, dass mindestens vier Bedrohungsgruppen – die nicht namentlich genannt wurden – CitrixBleed nutzen, wobei mindestens eine Gruppe den Angriffsprozess automatisiert.
Einer der Bedrohungsakteure ist vermutlich die mit Russland verbundene LockBit-Ransomware-Bande, die bereits die Verantwortung für mehrere groß angelegte Sicherheitsverletzungen übernommen hat, von denen angenommen wird, dass sie mit CitrixBleed in Zusammenhang stehen.
Sicherheitsforscher Kevin Beaumont schrieb in einem Blogbeitrag Am Dienstag hat die LockBit-Bande letzte Woche in die US-Filiale der Industrial and Commercial Bank of China (ICBC) gehackt – angeblich der weltweit größte Kreditgeber nach Vermögenswerten –, indem sie eine ungepatchte Citrix Netscaler-Box kompromittiert hat. Der Ausfall beeinträchtigte die Fähigkeit des Bankengiganten, Geschäfte abzuwickeln. Laut Bloomberg am Dienstagdas Unternehmen muss den normalen Betrieb noch wiederherstellen.
ICBC, das Berichten zufolge die Lösegeldforderung von LockBit bezahlt hat, lehnte es ab, die Fragen von Tech zu beantworten, sagte aber in einer Erklärung auf seiner Website, dass es „einen Ransomware-Angriff“ gegeben habe, der „zu einer Störung bestimmter Systeme geführt habe“.
Ein LockBit-Vertreter sagte Reuters am Montag dass ICBC „ein Lösegeld gezahlt hat – Deal abgeschlossen“, aber keine Beweise für ihren Anspruch vorgelegt hat. LockBit auch sagte der Malware-Forschungsgruppe vx-underground dass ICBC ein Lösegeld gezahlt habe, wollte aber nicht sagen, wie viel.
Beaumont sagte in einem Beitrag auf Mastodon dass Boeing zum Zeitpunkt des LockBit-Verstoßes auch über ein ungepatchtes Citrix Netscaler-System verfügte, und berief sich dabei auf Daten von Shodan, einer Suchmaschine für exponierte Datenbanken und Geräte.
Boeing-Sprecher Jim Proulx sagte gegenüber Tech zuvor, dass das Unternehmen „sich eines Cybervorfalls bewusst ist, der sich auf Teile unseres Teile- und Vertriebsgeschäfts auswirkt“, sich jedoch nicht zu LockBits angeblicher Veröffentlichung gestohlener Daten äußern möchte.
Beaumont stellte fest, dass Allen & Overy, eine der größten Anwaltskanzleien der Welt, zum Zeitpunkt der Kompromittierung ebenfalls ein betroffenes Citrix-System betrieb. LockBit hat sowohl Boeing als auch Allen & Overy zu seiner Dark-Web-Leak-Site hinzugefügt, die Ransomware-Banden normalerweise nutzen, um Opfer durch die Veröffentlichung von Dateien zu erpressen, es sei denn, die Opfer zahlen ein Lösegeld.
Die Sprecherin von Allen & Overy, Debbie Spitz, bestätigte, dass es in der Anwaltskanzlei einen „Datenvorfall“ gegeben habe, und sagte, dass sie „genau prüft, welche Daten betroffen sind, und wir informieren die betroffenen Mandanten.“
Die Medusa-Ransomware-Bande nutzt CitrixBleed auch aus, um gezielte Organisationen zu kompromittieren. sagte Beaumont.
„Wir gehen davon aus, dass CVE-2023-4966 ab 2023 eine der am häufigsten ausgenutzten Schwachstellen sein wird“, sagte Caitlin Condon, Leiterin der Schwachstellenforschung bei Rapid7, gegenüber Tech.