波音、工行只是冰山一角,全球上万台服务器面临攻击

根据研究人员的最新调查,全球仍有超过1万台存在CitrixBleed漏洞(CVE-2023-4966)的服务器暴露在互联网上,成为勒索软件组织的热门攻击目标,同时也意味着类似工行、波音的重大勒索软件攻击事件将持续上演。

成都创新互联成都企业网站建设服务,提供成都网站建设、成都网站设计网站开发,网站定制,建网站,网站搭建,网站设计,响应式网站建设,网页设计师打造企业风格网站,提供周到的售前咨询和贴心的售后服务。欢迎咨询做网站需要多少钱:18980820575

波音、工行和DP World倒在同一个漏洞上

威胁研究员Kevin Beaumont一直在追踪LockBit勒索软件组织针对中国工商银行(ICBC)、DP World、Allen&Overy和波音等多家大公司的攻击,发现这些事件有一个共同点——被攻击的企业都有未修复Citrix Bleed漏洞Citrix服务器在线暴露,而LockBit勒索软件组织正在积极利用该漏洞展开全球攻击。

《华尔街日报》进一步证实了这一点,该报获得了美国财政部发给金融服务提供商的一封电子邮件,其中提到LockBit对工行的网络攻击是通过利用CitrixBleed漏洞实现的。

如果LockBit利用该漏洞成功攻击了工行美国子公司,那么很可能也用同样的方法攻击了存在相同漏洞的波音公司和迪拜港口世界公司(DP World)。

研究人员指出,LockBit是最大的RaaS(勒索软件即服务)运营者,因此,这些攻击很可能是由LockBit附属机构发起的,而且这些附属机构对如何发动网络攻击拥有完全的自由裁量权。

研究人员指出,勒索软件附属机构专注于某一特定行业或初始访问方法的情况并不少见。

例如,GandCrab/REvil附属机构会专门利用MSP软件来加密公司。因此,LockBit附属机构专注于利用Citrix Bleed漏洞来大规模入侵网络并不让人感到意外。

威胁全球的巨大攻击面:超过1万台服务器受影响

根据日本威胁研究人员Yutaka Sejiyama的调查结果,截至本周三,超过10400台在线暴露的Citrix服务器(下图)容易受到Citrix Bleed漏洞利用攻击:

大多数服务器位于美国(3133台),其次是德国1228台、中国733台、英国558台、澳大利亚381台、加拿大309台、法国301台、意大利277台、西班牙252台、西班牙244台。荷兰215家,瑞士215家。

Sejiyama通过shodan扫描发现许多国家的大型关键基础设施组织中也存在易受攻击的服务器,而这些服务器在Citrix Bleed漏洞公开披露整整一个月仍然没有修补。

关于Citrix Bleed漏洞

Citrix Bleed于10月10日被披露为严重漏洞,影响Citrix NetScaler ADC和网关,攻击者可非法访问敏感设备信息。

Mandiant的报告称,攻击者于8月下旬开始利用CitrixBleed漏洞,当时该漏洞仍属于零日漏洞。黑客利用该漏洞劫持已经通过身份验证的会话从而绕过MFA保护。

攻击者使用特制的HTTP GET请求强制设备返回系统内存内容,其中包括MFA身份验证后有效的Netscaler AAA会话cookie。窃取这些身份验证cookie的黑客无需再次执行MFA验证即可访问设备。

10月25日,外部攻击面管理公司AssetNote的研究人员发布了Citrix Bleed的概念验证利用(PoC),演示了如何通过会话令牌盗窃来劫持NetScaler帐户。

PoC的发布加快了黑客对该漏洞的利用。Citrix随即向管理员发出第二次警告,敦促他们抓紧修复漏洞,因为利用CitrixBleed漏洞的攻击复杂性低,且无需用户交互。不需要与任何用户进行交互。

Mandiant的研究人员指出,设备上缺乏日志记录使得调查Citrix Bleed漏洞利用非常具有挑战性,需要Web应用程序防火墙(WAF)和其他网络流量监控设备来记录流量并确定设备是否被利用。

即使在利用后,攻击者仍然保持隐秘,采用离地技术和常见的管理工具(如net.exe和netscan.exe)来融入日常操作。

Mandiant建议通过以下方法识别漏洞利用尝试和会话劫持:

  • WAF请求分析:WAF工具可以记录对易受攻击端点的请求。
  • 登录模式监控:客户端和源IP地址不匹配以及写入ns.log文件中的同一IP地址的多个会话是潜在未经授权访问的迹象。
  • Windows注册表关联:将Citrix VDA系统上的Windows注册表条目与ns.log数据关联起来,可以追踪攻击者的来源。
  • 内存转储检查:可以分析NSPPE进程内存核心转储文件中包含重复字符的异常长字符串,这可能表明存在利用尝试。

网站题目:波音、工行只是冰山一角,全球上万台服务器面临攻击
转载注明:http://www.shufengxianlan.com/qtweb/news38/165988.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联