Cyberprzestępcy związani z oprogramowaniem ransomware LockBit aktywnie wykorzystują lukę w zabezpieczeniach Citrix Bleed. W listopadzie ostrzeżenie dotyczące aktywności podmiotów stowarzyszonych z LockBit, wydały organizacje odpowiedzialne za monitorowanie bezpieczeństwa cybernetycznego.
Ataki oparte o oprogramowanie ransomware stały się oczywiście niechlubnym standardem, zwłaszcza w obliczu bumu na rozwiązania zdalnego dostępu. Jednak ostatnie nasilenie działań tego typu oraz skala zagrożenia, dotycząca coraz częściej rozwiązań uznawanych za bezpieczne produkty liderów branży technologicznej, budzi coraz większy niepokój i skłania do refleksji nad koniecznością dodatkowych zabezpieczeń i ograniczonego zaufania do znanych rozwiązań.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), Federalne Biuro Śledcze (FBI), Wielostanowe Centrum Wymiany i Analiz Informacji (MS-ISAC) oraz Australijskie Centrum Cyberbezpieczeństwa (ACSC ASD) wydały wspólne ostrzeżenie, jednocześnie wyjaśniając taktykę stosowaną przez cyberprzestępców w celu wykorzystania luki, która wpływa na kontrolę dostarczania aplikacji internetowych Citrix NetScaler (ADC) i urządzenia NetScaler Gateway.
Luka określona jako Citrix Bleed ( CVE-2023-4966 ) umożliwia cyberprzestępcom omijanie wymagań dotyczących haseł oraz uwierzytelniania wieloskładnikowego, przejmowanie legalnych sesji użytkowników i uzyskiwanie uprawnień. W efekcie pozwala to na gromadzenie przez przestępców danych uwierzytelniających, a następnie uzyskanie dostępu do danych i zasobów organizacji.
Wszystkim administratorom sieci, zarządzających infrastrukturą, która wykorzystuje wspomniane rozwiązania firmy Citrix zaleca się wdrożenie środków zaradczych, które obejmują izolowanie urządzeń NetScaler ADC i Gateway oraz instalowanie niezbędnych aktualizacji oprogramowania za pośrednictwem Citrix Knowledge Center.
Citrix Bleed szeroko wykorzystywany w sieciach prywatnych i publicznych
Szokująca jest zwłaszcza łatwość, z jaką można wykorzystać lukę CVE-2023-4966, stąd niemal bezprecedensowe ryzyko powszechnego wykorzystania luki w zabezpieczeniach usług oprogramowania, zarówno w sieciach prywatnych, jak i publicznych. „Zidentyfikowane w tej kampanii złośliwe oprogramowanie jest generowane począwszy od wykonania skryptu PowerShell, który łączy ze sobą dwa ciągi Base64, konwertuje je na bajty i zapisuje w wyznaczonej ścieżce pliku” – czytamy w poradniku.
Aktywność LockBit
LockBit stał się w ciągu ostatnich dwóch lat dominującym graczem w krajobrazie zagrożeń cybernetycznych. Około połowa wszystkich cyberataków ransomware w 2022 roku była przypisywana wariantom narzędzia LockBit, co potwierdzają badania przeprowadzone przez Fortinet oraz dokument opracowany przez amerykańskie i międzynarodowe agencje cyberbezpieczeństwa, w tym FBI.
Czym zatem jest LockBit i jaka jego charakterystyka sprawia, że stał się tak istotny wśród innych złośliwych narzędzi. Otóż to rodzaj ransomware, który szyfruje pliki ofiar, eksfiltruje je i żąda okupu za ich odszyfrowanie, często również domaga się od ofiar dodtakowych opłat za niewyjawianie skradzionych wrażliwych danych. Niezależnie jednak od decyzji w sprawie okupu, twórcy oprogramowania LockBit stworzyli witrynę w sieci TOR, na której publikują informacje o ofiarach i skradzionych danych.
Grupa odpowiedzialna za ransomware LockBit działa od początku 2020 roku i atakowała w tym czasie podmioty z różnych sektorów, w tym newralgicznych gałęzi energetycznych i rządowych. Działając w modelu Ransomware-as-a-Service (RaaS), udostępnia narzędzia do przeprowadzania ataków innym cyberprzestępcom, zwanych podmiotami stowarzyszonymi. Kreuje to specyficzną sieć powiązań o afiliacyjnym charakterze, w której podmioty zajmują się wybieraniem i infiltrowaniem potencjalnych ofiar, a następnie wdrażają oprogramowanie dostarczone przez dystrybutora LockBit.
Od początku ubiegłego roku skala działań związanych z tym konkretnym rodzajem ataku gwałtownie wzrosła. Według danych przedstawionych przez Fortinet LockBit był zaangażowany w ponad połowę z blisko 3300 cyberataków ransomware, które zakłócały funkcjonowanie różnych firm i instytucji w 2022r. A tendencja ta, jak widać nie wyhamowała również w bieżącym roku. Co więcej, LocKBit rozszerzył swoje działania na systemy macOS, co dla cyberprzestępców otwiera nowe perspektywy.
W bieżącym roku mieliśmy do czynienia z kilkoma spektakularnymi atakami na wielkie instytucje i firmy działające na rynku amerykańskim – Industrial and Commercial Bank of China ( ICBC ), DP World , Allen & Overy i Boeing. Wspólnym mianownikiem wszystkich tych incydentów okazały się serwery Citrix, które za sprawą luki Citrix Bleed, okazały się bardzo podatne na wykorzystanie przez podmioty operujące ransomware LockBit. Poczatkowe podejrzenia i spekulacje, dotyczące sposobu przeprowadzenia cyberataku, potwierdziły ostateczie zarówno media (dziennik Wall Street Journal), jak i Departament Skarbu USA, który rozpoczął akcję ostrzegającą wybranych dostawców usług finansowych. Działania cyberprzestępców są o tyle przewrotne, że same ataki przeprowadzane są przez różnorodne podmioty, dysponujące pełną swobodą w zakresie sposobu włamywania się do sieci. A to powoduje zarówno nieprzewidywalność, jak i potencjalnie masowy charakter podobnych działań.
Ograniczenie zagrożenia związanego z wykorzystaniem Citrix Bleed
Wszystkim organizacjom, które mogą być narażone na atak, zaleca się jak najszybszą ocenę oprogramowania oraz systemów Citrix pod kątem potencjalnego naruszenia bezpieczeństwa. A w przypadku jakichkolwiek podejrzeń złośliwej aktywności, czy wykrycia anomalii sieciowych, podjęcia kroków, które postawią tamę przed dalszymi działaniami hakerów. Ze względu na spore ryzyko związane ze wspomnianą luką, należy założyć, że cyberprzestępcy potencjalnie uzyskali pełny dostęp administracyjny i mogą wykonywać wszystkie zadania, jakie umożliwia oprogramowanie do zarządzania siecią, łącznie z instalowaniem złośliwego kodu.
Po zidentyfikowaniu potencjalnego wykorzystania CVE-2023-4966 i LockBit 3.0, należy poddać kwarantannie lub odłączyć naruszone hosty w trybie offline oraz stworzyć nowe dane uwierzytelniające konto. W poradniku CISA zaleca między innymi izolowanie urządzenia NetScaler ADC i Gateway do czasu wdrożenia łatek bezpieczeństwa, zabezpieczenie narzędzia zdalnego dostępu i ograniczenie użycia protokołu RDP do czasu właściwych aktualizacji i konfiguracji, które pozwolą na wdrożenie planu odzyskiwania.
„Oprócz stosowania środków zaradczych CISA zaleca wykonywanie, testowanie i weryfikację programu bezpieczeństwa Twojej organizacji pod kątem zachowań związanych z zagrożeniami odwzorowanych w ramach MITRE ATT&CK dla przedsiębiorstw” – czytamy w poradniku.
Citrix Bleed
Citrix Bleed okazał się niezwykle łatwą do wykorzystania luką, a przy tym wyjątkowo trudną do załatania. Jako krytyczny problem bezpieczeństwa, który wpływa na Citrix NetScaler ADC i Gateway, umożliwiając dostęp do poufnych informacji o urządzeniu, została ujawniona 10 pażdziernika. I mimo poprawek wdrożonych przez Netscaler, masowa eksploatacja CVE-2023-4966 rozpoczęła się pod koniec miesiąca. A ponadto wykorzystanie jej przez cyberprzestępców dotyczy o wiele szerszego zakresu czasowego – bo już od sierpnia 2023r. (dnia zerowego luki). Fakt ten ujawnił dyrektor ds. technologii Mandiant, ostrzegając w październiku, że samo łatanie nie wystarczy, aby zabezpieczyć się przed atakami wykorzystującymi techniki omijania MFA.
Citrix Bleed pozwala atakującym ominąć wymagania dotyczące hasła i uwierzytelniania wieloskładnikowego w urządzeniach kontroli dostarczania aplikacji internetowych (ADC) i NetScaler Gateway firmy Citrix. Dokonują tego poprzez przejmowanie istniejących uwierzytelnionych sesji. Następnie LockBit wykorzystuje ten tymczasowy dostęp do skonfigurowania dostępu stałego (wdrażając narzędzia, takie jak Altera, Anydesk, TeamViewer itp.), aby następnie uzyskać podwyższone uprawnienia i umożliwić gromadzenie danych uwierzytelniających, uzyskiwania dostępu do zasobów ofiary oraz wdrażania w jej systemach oprogramowania ransomware.
W listopadzie operatorzy LockBit opublikowali ponad 40 GB danych skradzionych z systemów Boeinga w reakcji na niewzruszoną postawę giganta lotniczego, który nie ustąpił wobec żądań okupu.
To między innymi dzięki determinacji Boeinga, który nie tylko nie ugiął się wobec ataku na swoje systemy, ale też podzielił się szczegółami swoich doświadczeń z kontaktu z ransomware LockBit, możliwe było opracowanie przez agencje ds. bezpieczeństwa znacznie skuteczniejszych wytycznych, taktyk i procedur oraz IoC koniecznych do zastosowania w przypadku zagrożenia lub zidentyfikowania ataku. „Powiadomiliśmy prawie 300 organizacji, które prawdopodobnie korzystają z podatnych na ataki urządzeń i których dotyczy problem, aby mogły złagodzić skutki luk w zabezpieczeniach, zanim wystąpią szkody” – brzmiał komunikat CISA.
Ogromny obszar podatności na atak
Liczba serwerów Citrix zidentyfikowanych jako podatne na ataki CVE-2023-4966, pod koniec listopada przekraczała 10 400, w istotnej mierze były to serwery wykorzystywane przez duże organizacje o znaczeniu krytycznym na całym świecie. Alarm dotyczący skutków luki w zabezpieczeniach Citrix Bleed był więc sporym szokiem dla organizacji, które pokładały pełne zaufanie do rozwiązań uznawanych powszechnie za wiodące w dziedzinie zdalnego dostępu, również w kontekście bezpieczeństwa.
„Musisz być w stanie zidentyfikować i załatać coś takiego jak CitrixBleed w ciągu 24 godzin — jeśli nie jest to możliwe, istnieje bardzo realna możliwość, że nie jest to produkt idealny dla Twojej organizacji ze względu na poziom ryzyka, jaki stwarza, i potrzebujesz przemyśleć jeszcze raz, czy architektura Twojej infrastruktury spełnia swoje zadanie.” – stwierdził Kevin Beaumont, analityk ds. cyberbezpieczeństwa.
TSplus Advanced Security: Twoja tarcza przed zagrożeniami cybernetycznymi
W świetle tych wydarzeń ważne jest, aby administratorzy RDS wzmocnili swoje sieci. TSplus niezwykle poważnie traktuje kwestie bezpieczeństwa zdalnych połączeń i danych gromadzonych na serwerach swoich użytkowników. Stąd decyzja o kluczowym partnerstwie z firmą Kaspersky oraz nieustanne doskonalenie rozwiązań w kwestii zabezpieczeń przed zagrożeniami. TSplus oferuje ponadto zaawansowane rozwiązanie w zakresie cyberbezpieczeństwa – Advanced Security. To kompleksowe narzędzie, pozwalające skutecznie zabezpieczyć zdalne pulpity i środowiska wirtualne. Oferuje szeroki zakres funkcji, niezbędnych z punktu widzenia administracji zdalną infrastrukturą.
Wśród kluczowych cech znajdują się m.in.:
- Zapobieganie włamaniom: ochrona przed nieautoryzowanym dostępem.
- Ochrona wielowarstwowa: zabezpieczająca przed oprogramowaniem ransomware, phishingiem i nie tylko.
- Bezpieczny pulpit: pozwalająca na blokowanie sesji zdalnych i ograniczanie aktywności użytkowników, jeśli jest to konieczne z punktu widzenia bezpieczeństwa.
- Ochrona Brute Force: Chroniąca przed atakami za pomocą haseł.
Dlaczego warto wybrać TSplus Advanced Security?
Nasz program w zakresie cyberbezpieczeństwa to kompleksowe rozwiązanie dostosowane do potrzeb Administratorów RDS. W kontekście dynamicznie zmieniającego się środowiska zagrożeń cybernetycznych, przypisanie priorytetu kwestiom bezpieczeństwa wydaje się oczywiste.
Wypróbuj za darmo!: 15-dniowa wersja próbna, w pełni funkcjonalna