O ransomware LockBit explora o Citrix Bleed em ataques, 10 mil servidores expostos
16 de Novembro de 2023

Os ataques do ransomware Lockbit utilizam exploit disponíveis publicamente para a vulnerabilidade Citrix Bleed ( CVE-2023-4966 ) para violar os sistemas de grandes organizações, roubar dados e criptografar arquivos.

Embora a Citrix tenha disponibilizado correções para CVE-2023-4966 há mais de um mês, milhares de terminais expostos à internet ainda estão operando com aparelhos vulneráveis, muitos nos EUA.

O pesquisador de ameaças Kevin Beaumont tem monitorado ataques contra várias empresas, incluindo o Banco Industrial e Comercial da China (ICBC), DP World, Allen & Overy e Boeing, e descobriu que eles tinham algo em comum.

São servidores Citrix expostos [1, 2] vulneráveis à falha do Citrix Bleed, que ele diz que a gangue do ransomware LockBit está explorando ataques.

Isso foi ainda confirmado pelo Wall Street Journal, que obteve um email do Tesouro dos EUA enviado a alguns provedores de serviços financeiros, mencionando que o LockBit foi responsável pelo ciberataque no ICBC, que foi realizado explorando a falha do Citrix Bleed.

Se o LockBit usou a vulnerabilidade para violar uma empresa, acredita-se que eles provavelmente violaram a Boeing e a DP World de maneira similar.

Esses ataques provavelmente estão sendo conduzidos por um afiliado do LockBit que está utilizando fortemente essa vulnerabilidade para violar redes, ao invés da operação de ransomware em si estar por trás do ataque.

Como o LockBit é o maior Ransomware-as-a-Service, ele utiliza muitos afiliados que têm total discrição sobre como eles violam redes.

Como vimos com um afiliado que pertencia tanto às operações GandCrab e depois REvil, não é incomum um hacker se concentrar em uma indústria particular ou método de acesso inicial.

Por exemplo, um afiliado de GandCrab/REvil especializado em explorar software MSP [1, 2, 3] para criptografar empresas, e provavelmente estamos vendo um afiliado do LockBit utilizando a falha do Citrix Bleed para violar massivamente redes.

No momento da escrita, mais de 10.400 servidores Citrix estão vulneráveis ao CVE-2023-4966 , de acordo com as descobertas do pesquisador de ameaças japonês Yutaka Sejiyama compartilhadas com o BleepingComputer.

A maioria dos servidores, 3.133, estão nos EUA, seguidos por 1.228 na Alemanha, 733 na China, 558 no Reino Unido, 381 na Austrália, 309 no Canadá, 301 na França, 277 na Itália, 252 na Espanha, 244 na Holanda e 215 na Suíça.

As verificações de Sejiyama revelaram servidores vulneráveis em grandes e vitais organizações nos acima e muitos outros países, todos permanecendo sem correção depois de um mês inteiro após a divulgação pública do defeito crítico.

Citrix Bleed foi divulgado em 10 de outubro como um problema de segurança crítico que afeta o Citrix NetScaler ADC e o Gateway, permitindo o acesso às informações sensíveis do dispositivo.

Mandiant relatou que os agentes de ameaças começaram a explorar o Citrix Bleed no final de agosto, quando a falha de segurança ainda era uma zero day.

Nos ataques, os hackers usaram solicitações HTTP GET para obter cookies de sessão Netscaler AAA após o estágio de autenticação multifator (MFA).

Citrix instou os administradores a proteger os sistemas contra ataques de baixa complexidade e sem interação.

Em 25 de outubro, a empresa de gerenciamento de superfície de ataque externo AssetNote lançou um exploit de prova de conceito mostrando como os tokens de sessão podem ser roubados.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...