Bilgisayar korsanları, son kitlesel siber saldırı dalgasında 'CitrixBleed' hatasını kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Bilgisayar korsanları, son kitlesel siber saldırı dalgasında 'CitrixBleed' hatasını kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Knapp, “Rapid7 olay müdahale ekipleri, araştırmalarımız sırasında hem yanal hareketi hem de veri erişimini gözlemledi” dedi ve bilgisayar korsanlarının, ilk uzlaşmanın ardından kurbanların ağına ve verilerine daha geniş erişim elde edebildiklerini öne sürdü

Robert Knapp, siber güvenlik firması Rapid7’nin olay müdahale başkanı

Bu siber saldırılara şu ana kadar havacılık devi Boeing; dünyanın en büyük bankası ICBC; dünyanın en büyük liman işletmecilerinden biri olan DP World; Raporlara göre uluslararası hukuk firması Allen & Overy hatayı araştırmaya başladım Bir müşterinin ağındaki hatanın potansiyel olarak istismar edildiğini tespit ettikten sonra şirketin sağlık, üretim ve perakende alanlarındaki kuruluşları hedef alan saldırganları da gözlemlediğini söyledi olaya müdahale devi Mandiant’a göreCitrix’in yamaları kullanıma sunmasından önce Ağustos ayı sonlarında “birden fazla başarılı istismar örneğini” keşfettikten sonra araştırmaya başladığını söyledi kar amacı gütmeyen tehdit izleyici Shadowserver Vakfı

CitrixBleed nedir?

10 Ekim’de ağ ekipmanı üreticisi Citrix, büyük kuruluşların ve hükümetlerin uygulama dağıtımı ve VPN bağlantısı için kullandığı NetScaler ADC ve NetScaler Gateway platformlarının şirket içi sürümlerini etkileyen güvenlik açığını açıkladı Etkilenen sistemlerin çoğunluğu Kuzey Amerika’da bulunuyor Salı günü Bloomberg’e görefirma henüz normal faaliyetlerine geri dönmedi

LockBit’in fidye talebini ödediği bildirilen ICBC, TechCrunch’ın sorularını yanıtlamayı reddetti ancak web sitesinde yaptığı açıklamada “belirli sistemlerin bozulmasına yol açan bir fidye yazılımı saldırısına maruz kaldığını” söyledi

Rapid7’nin güvenlik açığı araştırması başkanı Caitlin Condon, TechCrunch’a “CVE-2023-4966’nın 2023’ten itibaren rutin olarak en çok yararlanılan güvenlik açıklarından biri olmasını bekliyoruz” dedi

Güvenlik araştırmacısı Kevin Beaumont bir blog yazısında şunu yazdı: Salı günü, LockBit çetesi geçen hafta, yama yapılmamış bir Citrix Netscaler kutusunu tehlikeye atarak, varlıklar açısından dünyanın en büyük kredi veren kuruluşu olduğu söylenen Çin Sanayi ve Ticaret Bankası’nın (ICBC) ABD şubesine saldırdı

Bir LockBit temsilcisi Pazartesi günü Reuters’e söyledi ICBC “fidye ödedi – anlaşma tamamlandı” ancak iddialarına dair kanıt sunmadı ABD hükümetinin siber güvenlik kurumu CISA da alarm verdi federal kurumları yama yapmaya çağıran bir danışma belgesinde Aktif olarak sömürülen kusura karşı

Allen & Overy sözcüsü Debbie Spitz, hukuk firmasının bir “veri olayı” yaşadığını doğruladı ve “tam olarak hangi verilerin etkilendiğini değerlendiriyoruz ve etkilenen müşterileri bilgilendiriyoruz” dedi

Binlerce başka kuruluş bu güvenlik açığına karşı yama yapılmamış durumda ve resmi olarak şu şekilde takip ediliyor: CVE-2023-4966 ve “CitrixBleed” olarak adlandırıldı LockBit, fidye yazılımı çetelerinin kurbanlar fidye talebinde bulunmadıkça dosyaları yayınlayarak kurbanları şantaj yapmak için kullandığı karanlık web sızıntı sitesine hem Boeing’i hem de Allen & Overy’yi ekledi

Beaumont Mastodon’daki bir yazıda şöyle dedi Boeing’in ayrıca LockBit ihlali sırasında yama yapılmamış bir Citrix Netscaler sistemine sahip olduğu ve açığa çıkan veritabanları ve cihazlar için bir arama motoru olan Shodan’dan alınan verilere atıfta bulunuldu





genel-24


Fidye yazılımı çetesi büyük firmaların hacklenmesinden pay alırken, Citrix müşterilerinden yama yapmaları istendi

Güvenlik araştırmacıları diyor ki Bilgisayar korsanları, dünya çapındaki büyük kuruluşlara karşı felç edici siber saldırılar başlatmak için Citrix NetScaler sistemlerindeki kritik dereceli bir güvenlik açığından toplu olarak yararlanıyor Kesinti, bankacılık devinin işlemleri tamamlama kabiliyetini sekteye uğrattı

Ünlü kurbanlar

Siber güvenlik şirketi ReliaQuest şunları söyledi: geçen hafta Adını vermediği en az dört tehdit grubunun CitrixBleed’den yararlandığına ve en az bir grubun saldırı sürecini otomatikleştirdiğine dair kanıtlar var

Medusa fidye yazılımı çetesi aynı zamanda hedeflenen organizasyonları tehlikeye atmak için CitrixBleed’den de yararlanıyor

Boeing sözcüsü Jim Proulx daha önce TechCrunch’a şirketin “parçalarımızı ve dağıtım işimizi etkileyen bir siber olaydan haberdar olduğunu” ancak LockBit’in çalıntı verileri yayınladığı iddiası hakkında yorum yapmayacağını söylemişti

Beaumont, dünyanın en büyük hukuk firmalarından biri olan Allen & Overy’nin de uzlaşma sırasında etkilenen bir Citrix sistemi işlettiğini belirtti

İlk kurbanlar arasında profesyonel hizmetler, teknoloji ve devlet kurumları yer alıyordu Hatanın istismar edilmesi çok az çaba veya karmaşıklık gerektiriyor ve bilgisayar korsanlarının bir şifreye ihtiyaç duymadan veya iki faktör kullanmadan kurbanın ağını tehlikeye atmak için meşru oturum belirteçlerini ele geçirmesine ve kullanmasına olanak tanıyor

Tehdit aktörlerinden birinin, CitrixBleed ile ilişkili olduğuna inanılan çok sayıda büyük ölçekli ihlalin sorumluluğunu zaten üstlenen Rusya bağlantılı LockBit fidye yazılımı çetesi olduğuna inanılıyor

Şu ana kadar bildiklerimiz bunlar

Kusur, kimliği doğrulanmamış uzaktaki saldırganların, hassas oturum belirteçleri de dahil olmak üzere (bu nedenle “CitrixBleed” adı) savunmasız bir Citrix cihazının belleğinden büyük miktarlarda veri almasına olanak tanıyan hassas bir bilginin açığa çıkması güvenlik açığı olarak tanımlanıyor LockBit ayrıca kötü amaçlı yazılım araştırma grubu vx-underground’a söyledi ICBC’nin fidye ödediğini ancak ne kadar olduğunu söylemeyi reddettiğini söyledi Beaumont dedi

Citrix yamalar yayınladı, ancak bir hafta sonra 17 Ekim’de tavsiyelerini vahşi doğada sömürü gözlemlediğini bildirecek şekilde güncelledi