Дефектът в софтуера на Citrix бил "невероятно лесен за използване", а "реалността в областта на киберсигурността, в която живеем сега, е, че тийнейджъри се движат в организирани престъпни групи с цифрови базуки," твърди изследователят в областта на сигурността Кевин Бомонт.
Критичен недостатък в софтуера на Citrix Systems Inc., компания, която е пионер в областта на отдалечения достъп, така че хората да могат да работят навсякъде, се използва от хакери, подкрепяни от правителството, и от престъпни групи, според американски киберслужител.
Според онлайн публикации на Citrix и изследователи в областта на киберсигурността, недостатъкът, наречен Citrix Bleed, е бил използван тайно от хакери в продължение на седмици, преди да бъде открит и да бъде издадена поправка миналия месец. Оттогава насам според изследователите хакерите са ускорили използването на грешката, насочвайки се към някои от хилядите клиенти, които не са приложили пач.
"Наясно сме, че голямо разнообразие от злонамерени участници, включително както национални, така и престъпни групи, се фокусират върху използването на уязвимостта Citrix Bleed", заяви пред Bloomberg News Ерик Голдщайн, изпълнителен помощник-директор по киберсигурността в Агенцията за киберсигурност и инфраструктурна сигурност на САЩ, известна като CISA.
CISA предоставя помощ на жертвите, каза Голдщайн, който отказа да ги идентифицира. Според него противниците биха могли да се възползват от уязвимостта, за да откраднат чувствителна информация и да се опитат да получат по-широк достъп до мрежата.
Citrix не отговори на съобщенията, търсещи коментар.
Сред престъпните групи, използващи грешката Citrix Bleed, е една от най-известните хакерски банди в света - LockBit, според световния консорциум за банкова сигурност FS-ISAC, който във вторник издаде бюлетин за сигурност относно риска за финансовите институции.
Министерството на финансите на САЩ също така заяви, че разследва дали уязвимостите на Citrix са отговорни за неотдавнашния унищожителен хакерски пробив за откуп срещу Industrial & Commercial Bank of China Ltd., според запознат с въпроса. Пробивът направи най-голямата банка в света неспособна да изчисти част от сделките на американското министерство на финансите. ICBC не отговори на искането за коментар.
LockBit претендира за заслуга за хакването на ICBC, а представител на бандата заяви, че банката е платила откуп, въпреки че Bloomberg не успя да потвърди това твърдение независимо. По-рано Wall Street Journal съобщи за бележката на Министерството на финансите на САЩ.
Citrix обяви, че е открила грешката Citrix Bleed на 10 октомври и издаде пач. Компанията заяви, че към онзи момент не е имало признаци някой да се е възползвал от уязвимостта.
Оттогава обаче множество клиенти на Citrix са открили, че са били атакувани преди издаването на корекцията, според публикация на Citrix и изследователи в областта на киберсигурността. Една от ранните жертви е европейско правителство, според запознат с въпроса, който отказа да назове държавата.
Според CISA бъгът Citrix Bleed може да позволи на хакера да поеме контрол над системата на жертвата. Според изследователското звено Unit 42 на компанията за киберсигурност Palo Alto Networks Inc. недостатъкът е получил прозвището си, защото може да доведе до изтичане на чувствителна информация от паметта на устройството. Изтеклите данни могат да включват "сесийни токени", които могат да идентифицират и удостоверят посетителя на определен уебсайт или услуга, без да се въвежда парола.
Фирмата за киберсигурност Mandiant започва да проучва уязвимостта, след като Citrix я е сигнализирала, и в крайна сметка открива множество жертви от преди бъгът да бъде оповестен публично или да има поправка, датираща от края на август.
Чарлз Кармакал, главен технологичен директор в консултантското звено на Mandiant, заяви пред Bloomberg, че тези първоначални атаки не са изглеждали финансово мотивирани. Mandiant все още оценява дали тези ранни прониквания са били извършени с цел шпионаж от страна на национална държава, вероятно Китай, каза той.
Потърсено за коментар, китайското посолство във Вашингтон не отговори на въпроса за уязвимостта на Citrix, а се позова на коментарите на Министерството на външните работи от 10 ноември. "ICBC следи отблизо този случай и е предприела ефективни мерки за спешно реагиране и се е ангажирала с подходящ надзор и комуникация, за да сведе до минимум риска, въздействието и щетите", заяви министерството.
Citrix актуализира своите указания на 23 октомври, като препоръча не само пачове, но и "унищожаване на всички активни и постоянни сесии".
Хиляди компании не успяха да актуализират софтуера си на Citrix и да предприемат други действия, които компанията, CISA и други спешно препоръчаха. Екипите на Palo Alto Unit 42, които също са наблюдавали групи за изнудване, използващи бъга, заявиха в блог от 1 ноември, че поне 6000 IP адреса изглеждат уязвими и че най-голям брой от тези устройства се намират в САЩ, както и други в Германия, Китай и Обединеното кралство.
GreyNoise, компания, която анализира сканирането по IP адреси, съобщи, че е видяла 335 уникални IP адреса, които се опитват да използват експлойта Citrix Bleed, откакто е започнала да го следи на 17 октомври.
LockBit е както името на банда, така и видът на произвеждания от нея ransomware. ФБР твърди, че тя е отговорна за повече от 1700 атаки срещу САЩ от 2020 г. насам.
Изследователят в областта на сигурността Кевин Бомонт заяви, че използването от страна на LockBit на дефекта в Citrix се разпростира върху множество жертви. Адвокатската кантора Allen & Overy е била пробита чрез недостатъка на Citrix, каза той в публикация в Medium, а авиационният гигант Boeing Co. и пристанищният оператор DP World Plc са имали непоправени устройства Citrix, което е позволило на хакерите потенциално да използват грешката.
Бомонт описа дефекта като "невероятно лесен за използване" и добави: "Реалността в областта на киберсигурността, в която живеем сега, е, че тийнейджъри се движат в организирани престъпни групи с цифрови базуки."
Представителите на Allen & Overy, DP World и Boeing не отговориха дали грешката в Citrix е била използвана. Инцидентът в Allen & Overy е засегнал малък брой сървъри за съхранение на данни, но основните системи не са били засегнати, заяви говорител. Пробивът, засегнал системата за части и дистрибуция на Boeing, продължава да се разследва, каза говорителят.
Представител на DP World заяви, че компанията е ограничена в подробностите, които може да предостави, поради продължаващия характер на разследването. Бомонт не отговори на искането за коментар.