En kritisk feil i programvaren til Citrix Systems Inc., et selskap som var banebrytende for fjerntilgang slik at folk kan jobbe fra hvor som helst, har blitt utnyttet av regjeringsstøttede hackere og kriminelle grupper, ifølge en amerikansk IT-tjenestemann.
I følge online-innlegg fra Citrix og cybersikkerhetsforskere, ble feilen, kalt Citrix Bleed, misbrukt av hackere i hemmelighet i flere uker før den ble oppdaget og utgitt i forrige måned. Siden den gang sier forskere at hackere har akselerert utnyttelsen av feilen, rettet mot noen av de tusenvis av kunder som ikke har tatt i bruk en oppdatering.
«Vi er klar over at en rekke ondsinnede aktører, inkludert både nasjonalstater og kriminelle grupper, er fokusert på å utnytte Citrix Bleed-sårbarheten,» sier Eric Goldstein, assisterende administrerende direktør for cybersikkerhet ved U.S. Cybersecurity and Infrastructure Security Agency, som CISA. , sa han til Bloomberg News.
CISA gir bistand til ofrene, sa Goldstein, som nektet å identifisere dem. Motstandere kan utnytte sårbarheten til å stjele sensitiv informasjon og forsøke å få bredere tilgang til nettverket, sa han.
Citrix svarte ikke på meldinger som søkte kommentarer.
Vi er nå på WhatsApp. Klikk for å delta.
Blant de kriminelle gruppene som utnytter Citrix Bleed-feilen er en av verdens mest beryktede hackergjenger, LockBit, ifølge et globalt banksikkerhetskonsortium, FS-ISAC, som tirsdag ga ut en sikkerhetsbulletin om risikoen for finansinstitusjoner.
Det amerikanske finansdepartementet sa også at det undersøker om Citrix-sårbarheter var ansvarlige for det nylige ødeleggende løsepengeangrepet mot Industrial & Commercial Bank of China Ltd., ifølge en person som er kjent med saken. Bruddet gjorde at verdens største bank ikke var i stand til å avvikle de fleste amerikanske finansoperasjoner. ICBC svarte ikke på en forespørsel om kommentar.
LockBit krevde kreditt for ICBC-hakket, og en representant for gjengen sa at banken betalte løsepenger, selv om Bloomberg ikke var i stand til å bekrefte påstanden uavhengig. Wall Street Journal hadde allerede rapportert notatet fra det amerikanske finansdepartementet.
Citrix annonserte at de hadde oppdaget Citrix Bleed-feilen 10. oktober og ga ut en patch. Selskapet sa at det foreløpig ikke var tegn på at noen hadde utnyttet sårbarheten.
Siden den gang har imidlertid flere Citrix-kunder oppdaget at de hadde blitt brutt før oppdateringen ble utgitt, ifølge et innlegg fra Citrix og cybersikkerhetsforskere. Et av de første ofrene var en europeisk regjering, ifølge en person som er kjent med saken, som nektet å navngi landet.
I følge CISA kan Citrix Bleed-feilen tillate en hacker å ta kontroll over et offers system. Feilen fikk kallenavnet sitt fordi den kan lekke sensitiv informasjon fra en enhets minne, ifølge Unit 42, forskningsarmen til Palo Alto cybersecurity-firmaet Networks Inc. De lekkede dataene kan inkludere «session tokens» som kan identifisere og autentisere en besøkende til en bestemt nettsted eller tjeneste uten å angi passord.
Nettsikkerhetsfirmaet Mandiant begynte å se på sårbarheten når Citrix rapporterte det og fant til slutt flere ofre før feilen ble offentliggjort eller ble fikset, og dateres tilbake til slutten av august.
Charles Carmakal, teknologisjef i Mandiants konsulentavdeling, sa til Bloomberg at de første angrepene ikke virket økonomisk motiverte. Mandiant vurderer fortsatt om de første innbruddene ble utført for spionasjeformål av en nasjonalstat, kanskje Kina, sa han.
Da den ble bedt om en kommentar, tok den kinesiske ambassaden i Washington ikke opp Citrix-sårbarheten, men henviste i stedet til kommentarer fra Utenriksdepartementet 10. november. «ICBC følger denne situasjonen nøye og har tatt effektive beredskapstiltak og engasjert seg i hensiktsmessig tilsyn og kommunikasjon for å minimere risikoer, påvirkninger og skader,» sa departementet.
Citrix oppdaterte sine retningslinjer 23. oktober for å anbefale ikke bare oppdatering, men også «slette alle aktive og vedvarende økter.»
Tusenvis av selskaper har unnlatt å oppdatere sin Citrix-programvare og iverksette andre handlinger som selskapet, CISA og andre har sterkt anbefalt. Team ved Palo Altos Unit 42, som også observerte løsepengevaregrupper som utnyttet feilen, sa i en blogg 1. november at minst 6000 IP-adresser virker sårbare, og at det største antallet av disse enhetene er lokalisert i USA, så vel som andre i Tyskland, Kina og Storbritannia.
GreyNoise, et selskap som analyserer IP-adresseskanning, rapporterte at det hadde oppdaget 335 unike IP-adresser som forsøkte å bruke Citrix Bleed-utnyttelsen siden de begynte å overvåke den 17. oktober.
LockBit er både navnet på en gjeng og typen løsepengevare den produserer. FBI sier det er ansvarlig for mer enn 1700 angrep mot USA siden 2020.
En sikkerhetsforsker, Kevin Beaumont, sa at LockBits utnyttelse av Citrix-feilen strekker seg til flere ofre. Advokatfirmaet Allen & Overy ble hacket av Citrix-feilen, sa det i et innlegg på Medium, og luftfartsgiganten Boeing Co. og havneoperatøren DP World Plc hadde upatchet Citrix-enheter, slik at hackere potensielt kunne utnytte feilen.
Beaumont beskrev feilen som «utrolig enkel å utnytte» og la til: «Sybersikkerhetsvirkeligheten vi lever i nå er at tenåringer løper rundt i organiserte kriminelle gjenger med digitale bazookaer.»
Representanter fra Allen & Overy, DP World og Boeing avklarte ikke om Citrix-feilen ble utnyttet. Hendelsen hos Allen & Overy påvirket et lite antall lagringsservere, men store systemer ble ikke påvirket, sa en talskvinne. Bruddet som involverer Boeings deler og distribusjonssystem er fortsatt under etterforskning, sa en talskvinne.
En representant for DP World sa at selskapet er begrenset i detaljene det kan gi på grunn av etterforskningens pågående natur. Beaumont svarte ikke på en forespørsel om kommentar.
En annen ting! HT Tech er nå på WhatsApp-kanaler! Følg oss ved å klikke på lenken for aldri å gå glipp av noen oppdateringer fra teknologiens verden. Klikk Her å registrere deg nå!
«Ond alkoholelsker. Twitter-narkoman. Fremtidig tenåringsidol. Leser. Matelsker. Introvert. Kaffeevangelist. Typisk baconentusiast.»