日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

根據(jù)研究人員的最新調(diào)查，全球仍有超過1萬臺存在CitrixBleed漏洞(CVE-2023-4966)的服務(wù)器暴露在互聯(lián)網(wǎng)上，成為勒索軟件組織的熱門攻擊目標(biāo)，同時(shí)也意味著類似工行、波音的重大勒索軟件攻擊事件將持續(xù)上演。

成都創(chuàng)新互聯(lián)成都企業(yè)網(wǎng)站建設(shè)服務(wù)，提供成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)網(wǎng)站開發(fā),網(wǎng)站定制,建網(wǎng)站,網(wǎng)站搭建,網(wǎng)站設(shè)計(jì),響應(yīng)式網(wǎng)站建設(shè),網(wǎng)頁設(shè)計(jì)師打造企業(yè)風(fēng)格網(wǎng)站,提供周到的售前咨詢和貼心的售后服務(wù)。歡迎咨詢做網(wǎng)站需要多少錢:18980820575

波音、工行和DP World倒在同一個(gè)漏洞上

威脅研究員Kevin Beaumont一直在追蹤LockBit勒索軟件組織針對中國工商銀行(ICBC)、DP World、Allen&Overy和波音等多家大公司的攻擊，發(fā)現(xiàn)這些事件有一個(gè)共同點(diǎn)——被攻擊的企業(yè)都有未修復(fù)Citrix Bleed漏洞Citrix服務(wù)器在線暴露，而LockBit勒索軟件組織正在積極利用該漏洞展開全球攻擊。

《華爾街日報(bào)》進(jìn)一步證實(shí)了這一點(diǎn)，該報(bào)獲得了美國財(cái)政部發(fā)給金融服務(wù)提供商的一封電子郵件，其中提到LockBit對工行的網(wǎng)絡(luò)攻擊是通過利用CitrixBleed漏洞實(shí)現(xiàn)的。

如果LockBit利用該漏洞成功攻擊了工行美國子公司，那么很可能也用同樣的方法攻擊了存在相同漏洞的波音公司和迪拜港口世界公司（DP World）。

研究人員指出，LockBit是最大的RaaS（勒索軟件即服務(wù)）運(yùn)營者，因此，這些攻擊很可能是由LockBit附屬機(jī)構(gòu)發(fā)起的，而且這些附屬機(jī)構(gòu)對如何發(fā)動(dòng)網(wǎng)絡(luò)攻擊擁有完全的自由裁量權(quán)。

研究人員指出，勒索軟件附屬機(jī)構(gòu)專注于某一特定行業(yè)或初始訪問方法的情況并不少見。

例如，GandCrab/REvil附屬機(jī)構(gòu)會專門利用MSP軟件來加密公司。因此，LockBit附屬機(jī)構(gòu)專注于利用Citrix Bleed漏洞來大規(guī)模入侵網(wǎng)絡(luò)并不讓人感到意外。

威脅全球的巨大攻擊面：超過1萬臺服務(wù)器受影響

根據(jù)日本威脅研究人員Yutaka Sejiyama的調(diào)查結(jié)果，截至本周三，超過10400臺在線暴露的Citrix服務(wù)器（下圖）容易受到Citrix Bleed漏洞利用攻擊：

大多數(shù)服務(wù)器位于美國（3133臺），其次是德國1228臺、中國733臺、英國558臺、澳大利亞381臺、加拿大309臺、法國301臺、意大利277臺、西班牙252臺、西班牙244臺。荷蘭215家，瑞士215家。

Sejiyama通過shodan掃描發(fā)現(xiàn)許多國家的大型關(guān)鍵基礎(chǔ)設(shè)施組織中也存在易受攻擊的服務(wù)器，而這些服務(wù)器在Citrix Bleed漏洞公開披露整整一個(gè)月仍然沒有修補(bǔ)。

關(guān)于Citrix Bleed漏洞

Citrix Bleed于10月10日被披露為嚴(yán)重漏洞，影響Citrix NetScaler ADC和網(wǎng)關(guān)，攻擊者可非法訪問敏感設(shè)備信息。

Mandiant的報(bào)告稱，攻擊者于8月下旬開始利用CitrixBleed漏洞，當(dāng)時(shí)該漏洞仍屬于零日漏洞。黑客利用該漏洞劫持已經(jīng)通過身份驗(yàn)證的會話從而繞過MFA保護(hù)。

攻擊者使用特制的HTTP GET請求強(qiáng)制設(shè)備返回系統(tǒng)內(nèi)存內(nèi)容，其中包括MFA身份驗(yàn)證后有效的Netscaler AAA會話cookie。竊取這些身份驗(yàn)證cookie的黑客無需再次執(zhí)行MFA驗(yàn)證即可訪問設(shè)備。

10月25日，外部攻擊面管理公司AssetNote的研究人員發(fā)布了Citrix Bleed的概念驗(yàn)證利用(PoC)，演示了如何通過會話令牌盜竊來劫持NetScaler帳戶。

PoC的發(fā)布加快了黑客對該漏洞的利用。Citrix隨即向管理員發(fā)出第二次警告，敦促他們抓緊修復(fù)漏洞，因?yàn)槔肅itrixBleed漏洞的攻擊復(fù)雜性低，且無需用戶交互。不需要與任何用戶進(jìn)行交互。

Mandiant的研究人員指出，設(shè)備上缺乏日志記錄使得調(diào)查Citrix Bleed漏洞利用非常具有挑戰(zhàn)性，需要Web應(yīng)用程序防火墻(WAF)和其他網(wǎng)絡(luò)流量監(jiān)控設(shè)備來記錄流量并確定設(shè)備是否被利用。

即使在利用后，攻擊者仍然保持隱秘，采用離地技術(shù)和常見的管理工具（如net.exe和netscan.exe）來融入日常操作。

Mandiant建議通過以下方法識別漏洞利用嘗試和會話劫持：

• WAF請求分析：WAF工具可以記錄對易受攻擊端點(diǎn)的請求。
• 登錄模式監(jiān)控：客戶端和源IP地址不匹配以及寫入ns.log文件中的同一IP地址的多個(gè)會話是潛在未經(jīng)授權(quán)訪問的跡象。
• Windows注冊表關(guān)聯(lián)：將Citrix VDA系統(tǒng)上的Windows注冊表?xiàng)l目與ns.log數(shù)據(jù)關(guān)聯(lián)起來，可以追蹤攻擊者的來源。
• 內(nèi)存轉(zhuǎn)儲檢查：可以分析NSPPE進(jìn)程內(nèi)存核心轉(zhuǎn)儲文件中包含重復(fù)字符的異常長字符串，這可能表明存在利用嘗試。

當(dāng)前題目：波音、工行只是冰山一角，全球上萬臺服務(wù)器面臨攻擊
文章鏈接：http://www.dlmjj.cn/article/djdcgeh.html