Citrix远程办公漏洞和利用:有关数据丢失漏洞的新闻 - 彭博社
Katrina Manson
该公司总部位于加利福尼亚州圣克拉拉。
摄影师:David Paul Morris/Bloomberg美国一位网络安全官员表示,政府支持的黑客和犯罪团伙利用了Citrix Systems Inc.的软件中的一个关键漏洞,该公司是远程访问的先驱,使人们可以在任何地方工作。
这个漏洞被称为Citrix Bleed,据Citrix的在线帖子和网络安全研究人员称,黑客在发现并发布修复程序之前秘密滥用了数周。自那时起,研究人员表示黑客加快了对该漏洞的利用,针对那些尚未应用补丁的数千客户。
美国网络安全和基础设施安全局(CISA)的网络安全和基础设施安全局执行助理局长Eric Goldstein告诉彭博新闻:“我们知道各种恶意行为者,包括国家和犯罪团伙,都在利用Citrix Bleed漏洞。”
Goldstein表示,CISA正在为受害者提供帮助,但拒绝透露受害者的身份。他表示,对手可能利用该漏洞窃取敏感信息并试图获得更广泛的网络访问权限。
Citrix没有回应寻求评论的消息。
利用Citrix Bleed漏洞的犯罪团伙之一是全球最臭名昭著的黑客团伙之一LockBit,根据全球银行安全联盟FS-ISAC的一份安全公告,该公告于周二发布,警告金融机构面临的风险。
美国财政部也表示正在调查Citrix漏洞是否导致最近对中国工商银行的瘫痪性勒索黑客攻击,据知情人士透露。这次入侵使全球最大的银行无法结算大量美国财政部的交易。中国工商银行未回应置评请求。
阅读更多: 全球最大银行在遭受黑客攻击后不得不通过USB存储设备进行交易
LockBit声称对中国工商银行的黑客攻击负责,并且该团伙的一名代表表示银行支付了赎金,尽管彭博社无法独立证实这一说法。《华尔街日报》此前曾报道了美国财政部的声明。
Citrix 宣布于10月10日发现了Citrix Bleed漏洞并发布了补丁。该公司表示当时没有迹象表明有人利用了这个漏洞。
自那时起,然而,根据 Citrix 的一篇帖子和网络安全研究人员的说法,多个 Citrix 客户发现他们在补丁发布之前遭到了入侵。据一位知情人士透露,早期的受害者是一家欧洲政府,但拒绝透露国家名称。
根据 CISA 的说法,Citrix Bleed 漏洞可以让黑客控制受害者的系统。根据 Palo Alto Networks 公司的网络安全研究部门 Unit 42 的说法,这个漏洞之所以被命名为“Bleed”,是因为它可以从设备的内存中泄露敏感信息。泄露的数据可能包括可以识别和验证访问特定网站或服务的“会话令牌”,而无需输入密码。
阅读更多: 勒索软件团伙 LockBit 修改策略,支付额下滑
网络安全公司 Mandiant 在 Citrix 标记漏洞后开始调查这个漏洞,最终发现了多个早于漏洞公开或修复的受害者,追溯到去年八月底。
曼迪安特咨询部门的首席技术官查尔斯·卡马卡尔告诉彭博社,这些最初的攻击似乎并非出于经济动机。他说,曼迪安特仍在评估这些早期入侵是否是由国家发起的间谍活动,可能是中国。
在被要求置评时,中国驻华盛顿大使馆没有提及 Citrix 漏洞,而是参考了外交部 11 月 10 日的评论。外交部表示:“工商银行正在密切关注此事,并已采取有效的紧急应对措施,并进行适当的监督和沟通,以最大限度地减少风险、影响和损害。”
Citrix在10月23日更新了指南,建议不仅修补漏洞,而且“终止所有活动和持久会话”。
成千上万家公司未能更新其Citrix软件并采取其他公司、CISA和其他人紧急推荐的行动。Palo Alto的Unit 42团队在11月1日的博客中表示,他们还观察到勒索软件组织正在利用该漏洞,称至少有6,000个IP地址存在漏洞,其中最多的设备位于美国,还有一些位于德国、中国和英国。
GreyNoise,一家分析IP地址扫描的公司,报告称自10月17日开始跟踪以来,已经看到335个独特的IP地址尝试使用Citrix Bleed漏洞。
LockBit既是一个黑客组织的名称,也是他们制造的一种勒索软件。FBI表示自2020年以来,LockBit已对美国发动了超过1,700次攻击。
安全研究人员Kevin Beaumont表示,LockBit对Citrix漏洞的利用已经波及多个受害者。他在Medium上的一篇文章中说,律师事务所Allen & Overy通过Citrix漏洞遭到了入侵,而航空巨头波音公司和港口运营商DP World Plc的Citrix设备未打补丁,使黑客有可能利用该漏洞。
阅读更多: 黑客团伙Lockbit在网站上发布据称是波音数据
博蒙特描述这个漏洞为“极易被利用”,并补充说:“我们现在面临的网络安全现实是,青少年在有组织的犯罪团伙中使用数字火箭筒四处奔波。”
艾伦和奥弗利、迪拜世界和波音的代表没有回应是否利用了Citrix漏洞。艾伦和奥弗利的一位发言人表示,该事件影响了少量存储服务器,但核心系统并未受到影响。波音零部件和分销系统受到的侵害仍在调查中,一位发言人表示。
迪拜世界的一位代表表示,由于调查仍在进行,公司提供的细节有限。博蒙特未回应置评请求。