링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

중국 국영은행 랜섬웨어 공격에 연결된 ‘CitrixBleed’

이번 주 세계 최대 은행인 중국 공상은행(ICBC)에 대한 파괴적인 랜섬웨어 공격은 지난 달 Citrix가 NetScaler 기술에서 공개한 심각한 취약점과 관련이 있을 수 있습니다. 이 상황은 조직이 아직 패치를 실시하지 않은 경우 위협에 대해 즉시 패치를 적용해야 하는 이유를 강조합니다.

소위 “CitrixBleed” 취약점(CVE-2023-4966)은 Citrix NetScaler ADC 및 NetScaler Gateway 응용 프로그램 제공 플랫폼의 여러 온프레미스 버전에 영향을 미칩니다.

이 취약점은 CVSS 3.1 척도에서 최대 10점 만점에 9.4점의 심각도 점수를 가지며, 공격자가 민감한 정보를 훔치고 사용자 세션을 하이재킹할 수 있는 방법을 제공합니다. Citrix는 이 결함을 원격으로 악용할 수 있으며 공격 복잡성이 낮고 특별한 권한이 없으며 사용자 상호 작용이 없다고 설명했습니다.

대규모 Citrix블리드 공격

위협 행위자들은 Citrix가 10월 10일에 영향을 받는 소프트웨어의 업데이트 버전을 발표하기 몇 주 전인 8월부터 이 결함을 적극적으로 악용해 왔습니다. 이 결함을 발견하고 Citrix에 보고한 Mandiant의 연구원들은 조직이 영향을 받는 각 소프트웨어에서 모든 활성 세션을 종료할 것을 강력히 권장했습니다. NetScaler 장치는 업데이트 후에도 인증된 세션이 지속될 가능성이 있기 때문입니다.

국영 ICBC의 미국 지사에 대한 랜섬웨어 공격은 이러한 악용 활동이 공개적으로 나타난 것으로 보입니다. 이번 주 초 성명을 통해 은행은 11월 8일 랜섬웨어 공격을 받아 시스템 일부가 중단됐다고 밝혔습니다. 파이낸셜 타임즈(Financial Times)와 기타 매체는 소식통을 인용하여 LockBit 랜섬웨어 운영자가 공격의 배후에 있다는 사실을 알렸습니다.

보안 연구원 Kevin Beaumont는 11월 6일 ICBC 박스에서 패치되지 않은 Citrix NetScaler를 LockBit 공격자의 잠재적 공격 벡터 중 하나로 지적했습니다.

Beaumont는 “이 글을 쓰는 시점에도 5,000개가 넘는 조직이 여전히 #CitrixBleed를 패치하지 않았습니다”라고 말했습니다. “모든 형태의 인증을 완전하고 쉽게 우회할 수 있으며 랜섬웨어 그룹이 악용하고 있습니다. 조직 내부를 가리키고 클릭하는 것만큼 간단합니다. 공격자에게 완전한 대화형 원격 데스크톱 PC를 제공합니다. [on] 반대쪽 끝.”

완화되지 않은 NetScaler 장치에 대한 공격은 최근 몇 주 동안 대량 악용 상태로 간주되었습니다. 공개적으로 이용 가능한 결함의 기술적 세부 사항은 적어도 일부 활동을 촉진했습니다.

이번 주 ReliaQuest의 보고서에 따르면 현재 최소 4개의 조직화된 위협 그룹이 이 결함을 표적으로 삼고 있습니다. 그룹 중 하나는 CitrixBleed를 자동으로 악용했습니다. ReliaQuest는 11월 7일부터 11월 9일 사이에 “Citrix Bleed 악용을 특징으로 하는 여러 가지 고유한 고객 사건”을 관찰했다고 보고했습니다.

ReliaQuest는 “ReliaQuest는 위협 행위자가 Citrix Bleed 익스플로잇을 사용한 고객 환경의 여러 사례를 확인했습니다.”라고 말했습니다. ReliaQuest는 “초기 액세스 권한을 얻은 공격자들은 스텔스보다 속도에 초점을 맞춰 신속하게 환경을 조사했습니다.”라고 회사는 밝혔습니다. 어떤 사건에서는 공격자가 데이터를 유출했고 다른 사건에서는 랜섬웨어를 배포하려고 시도한 것으로 보인다고 ReliaQuest는 말했습니다.

인터넷 트래픽 분석 회사인 GreyNoise의 최신 데이터에 따르면 최소 51개의 고유 IP 주소에서 CitrixBleed를 악용하려는 시도가 10월 말의 ​​약 70개에서 감소한 것으로 나타났습니다.

CISA, CitrixBleed에 대한 지침 발표

익스플로잇 활동으로 인해 미국 사이버 보안 및 인프라 보안국(CISA)은 이번 주에 CitrixBleed 위협을 해결하기 위한 새로운 지침과 리소스를 발표했습니다. CISA는 시트릭스가 지난달 출시한 “완화되지 않은 어플라이언스를 업데이트된 버전으로 업데이트”하도록 조직에 촉구하는 버그의 “적극적이고 표적화된 악용”에 대해 경고했습니다.

취약점 자체는 민감한 정보 공개를 가능하게 하는 버퍼 오버플로 문제입니다. 이는 AAA(인증, 권한 부여 및 회계)로 구성되거나 VPN 가상 서버, ICA 또는 RDP 프록시와 같은 게이트웨이 장치로 구성된 경우 온프레미스 버전의 NetScaler에 영향을 미칩니다.

Leave A Reply

Your email address will not be published.