يستغل المتسللون خطأ “CitrixBleed” في أحدث موجة من الهجمات الإلكترونية الجماعية

حث عملاء Citrix على التصحيح لأن عصابة برامج الفدية تحصل على الفضل في اختراق الشركات ذات الأسماء الكبيرة

يقول باحثون أمنيون يستغل المتسللون على نطاق واسع ثغرة أمنية ذات تصنيف حرج في أنظمة Citrix NetScaler لشن هجمات إلكترونية معوقة ضد المؤسسات ذات الأسماء الكبيرة في جميع أنحاء العالم.

وقد شملت هذه الهجمات الإلكترونية حتى الآن شركة بوينغ العملاقة للطيران؛ وأكبر بنك في العالم، البنك الصناعي والتجاري الصيني (ICBC)؛ وواحدة من أكبر مشغلي الموانئ في العالم، موانئ دبي العالمية؛ وشركة المحاماة الدولية Allen & Overy، وفقًا للتقارير.

لا تزال الآلاف من المنظمات الأخرى دون إصلاح ضد الثغرة الأمنية، والتي يتم تتبعها رسميًا باسم CVE-2023-4966 ويطلق عليها اسم “CitrixBleed”. وتقع غالبية الأنظمة المتأثرة في أمريكا الشمالية، وفقًا لمؤسسة Shadowserver Foundation غير الربحية التي تتعقب التهديدات. كما دقت وكالة الأمن السيبراني التابعة للحكومة الأمريكية ناقوس الخطر في تقرير استشاري حثت فيه الوكالات الفيدرالية على تصحيح الخلل الذي تم استغلاله بشكل نشط.

وإليكم ما نعرفه حتى الآن.

ما هو سيتريكسبليد؟

في 10 أكتوبر، كشفت شركة Citrix لصناعة معدات الشبكات عن الثغرة الأمنية التي تؤثر على الإصدارات المحلية لمنصتي NetScaler ADC وNetScaler Gateway، والتي تستخدمها المؤسسات الكبيرة والحكومات لتوصيل التطبيقات واتصال VPN.

تم وصف الخلل على أنه ثغرة أمنية للكشف عن معلومات حساسة تسمح للمهاجمين غير المصادقين عن بعد باستخراج كميات كبيرة من البيانات من ذاكرة جهاز Citrix الضعيف، بما في ذلك الرموز المميزة للجلسة الحساسة (ومن هنا جاء اسم “CitrixBleed”). يتطلب استغلال الثغرة القليل من الجهد أو التعقيد، مما يسمح للمتسللين باختراق واستخدام رموز الجلسة المشروعة لاختراق شبكة الضحية دون الحاجة إلى كلمة مرور أو استخدام العامل الثنائي.

أصدرت Citrix تصحيحات، ولكن بعد أسبوع، في 17 أكتوبر، قامت بتحديث تحذيرها لإبلاغها بأنها لاحظت استغلالًا في البرية.

وكان من بين الضحايا الأوائل الخدمات المهنية والتكنولوجيا والمنظمات الحكومية، وفقًا لشركة Mandiant العملاقة للاستجابة للحوادث، والتي قالت إنها بدأت التحقيق بعد اكتشاف “حالات متعددة من الاستغلال الناجح” في وقت مبكر من أواخر أغسطس قبل إتاحة التصحيحات من Citrix.

قال روبرت كناب، رئيس قسم الاستجابة للحوادث في شركة Rapid7 للأمن السيبراني – والتي بدأت أيضًا التحقيق في الخطأ بعد اكتشاف استغلال محتمل للخلل في شبكة العميل – إن الشركة لاحظت أيضًا مهاجمين يستهدفون مؤسسات عبر الرعاية الصحية والتصنيع وتجارة التجزئة.

قال كناب: “لاحظ المستجيبون لحوادث Rapid7 كلاً من الحركة الجانبية والوصول إلى البيانات أثناء تحقيقاتنا”، مما يشير إلى أن المتسللين قادرون على الوصول بشكل أوسع إلى شبكة الضحايا وبياناتهم بعد التسوية الأولية.

ضحايا الأسماء الكبيرة

قالت شركة الأمن السيبراني ReliaQuest الأسبوع الماضي إن لديها أدلة على أن أربع مجموعات تهديد على الأقل – لم تذكر اسمها – تستفيد من CitrixBleed، مع قيام مجموعة واحدة على الأقل بأتمتة عملية الهجوم.

ويُعتقد أن إحدى الجهات الفاعلة في مجال التهديد هي عصابة LockBit Ransomware المرتبطة بروسيا، والتي أعلنت بالفعل مسؤوليتها عن العديد من الانتهاكات واسعة النطاق التي يُعتقد أنها مرتبطة ببرنامج CitrixBleed.

كتب الباحث الأمني ​​كيفن بومونت في تدوينة يوم الثلاثاء أن عصابة LockBit اخترقت الأسبوع الماضي الفرع الأمريكي للبنك الصناعي والتجاري الصيني (ICBC) – الذي يُقال إنه أكبر بنك في العالم من حيث الأصول – من خلال اختراق صندوق Citrix Netscaler غير المصحح. أدى الانقطاع إلى تعطيل قدرة العملاق المصرفي على إتمام الصفقات. ووفقا لبلومبرج يوم الثلاثاء، لم تستعيد الشركة عملياتها الطبيعية بعد.

ورفض البنك الصناعي والتجاري الصيني (ICBC)، الذي ورد أنه دفع طلب الفدية لشركة LockBit، الرد على أسئلة TechCrunch لكنه قال في بيان على موقعه على الإنترنت إنه “تعرض لهجوم فدية” “أدى إلى تعطيل أنظمة معينة”.

وقال ممثل لشركة LockBit لرويترز يوم الاثنين إن البنك الصناعي والتجاري الصيني “دفع فدية – وتم إغلاق الصفقة”، لكنه لم يقدم دليلاً على ادعائهم. لوكبيت أيضا أخبر مجموعة أبحاث البرمجيات الخبيثة vx-underground أن البنك الصناعي والتجاري الصيني دفع فدية، لكنه رفض تحديد المبلغ.

قال بومونت في منشور على Mastodon إن شركة Boeing كان لديها أيضًا نظام Citrix Netscaler غير مُصحح في وقت اختراق LockBit، مستشهدة ببيانات من Shodan، وهو محرك بحث لقواعد البيانات والأجهزة المكشوفة.

صرح المتحدث باسم شركة Boeing، جيم برولكس، لـ TechCrunch سابقًا أن الشركة “على علم بحادث سيبراني يؤثر على عناصر أعمالنا في مجال قطع الغيار والتوزيع” لكنه لن يعلق على نشر LockBit المزعوم للبيانات المسروقة.

وأشار بومونت إلى أن شركة Allen & Overy، إحدى أكبر شركات المحاماة في العالم، كانت تدير أيضًا نظام Citrix المتأثر في وقت اختراقه. أضافت LockBit كلاً من Boeing وAllen & Overy إلى موقع تسريب الويب المظلم الخاص بها، والذي تستخدمه عصابات برامج الفدية عادةً لابتزاز الضحايا عن طريق نشر الملفات ما لم يدفع الضحايا طلب فدية.

وأكدت ديبي سبيتز، المتحدثة باسم Allen & Overy، أن شركة المحاماة واجهت “حادثة بيانات” وقالت إنها “تقوم بتقييم البيانات التي تأثرت بالضبط، ونحن نقوم بإبلاغ العملاء المتأثرين”.

وقال بومونت إن عصابة Medusa Ransomware تستغل أيضًا CitrixBleed لاختراق المنظمات المستهدفة.

وقالت كيتلين كوندون، رئيسة أبحاث الثغرات الأمنية في Rapid7، لـ TechCrunch: “نتوقع أن تكون CVE-2023-4966 واحدة من أهم الثغرات الأمنية التي يتم استغلالها بشكل روتيني اعتبارًا من عام 2023”.