ランサムウェアグループLockBit 3.0の関係者は、CitrixBleedと呼ばれる脆弱性を悪用している。連邦当局は約300の組織に対し、攻撃を受ける脆弱性があると警告している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国連邦調査局(FBI)は2023年11月21日(現地時間、以下同)に(注1)、国家や犯罪グループが「Citrix Netscaler ADC」と「Netscaler Gateway」の重大な脆弱(ぜいじゃく)性を悪用して攻撃を仕掛けていると警告した。
ランサムウェアグループ「LockBit 3.0」の関係者は、研究者によって「CitrixBleed」と名付けられた脆弱性を悪用して、Boeingの部品と配布ユニットにアクセスして外部にデータを持ち出した。連邦当局によると、これはランサムウェア攻撃の一部として実行されたようだ。
CISAでサイバーセキュリティを担当するエグゼクティブ・アシスタントディレクターのエリック・ゴールドスタイン氏は、報道陣との電話会議で「ランサムウェアの脆弱性警告プログラムを通じて(注2)、CISAは約300の組織に対して、脆弱なインスタンスを実行している旨と、攻撃を受ける前に緩和策を講じる必要がある旨を通知した」と述べている。
Boeingへのサイバー攻撃は(注3)、2023年の夏に脆弱性が発見されて以来、相次ぐ悪用の最新の例である(注4)。Citrixは「CVE-2023-4966」としてリストに記載されたこの脆弱性に対するパッチを2023年10月初旬にリリースしたが(注5)、以前の悪用については認識していなかったと主張している。
Mandiantの研究者は「2023年8月以降、脆弱性を悪用する活動を観察している」と述べた。2023年10月、MandiantはCitrixの顧客に対して、以前のセッションを削除するよう警告した。なぜならパッチがリリースされる前に悪用されたシステムに、依然として脅威グループがアクセスできるためだ。
Google Cloudのグループ企業であるMandiant ConsultingのCTO(最高技術責任者)であるチャールズ・カーマカル氏によると、CitrixBleedに関連する最近のランサムウェア攻撃の波には、攻撃者が機会をうかがっている様子が見られるという。
カーマカル氏は「原則として、脆弱性のあるサーバを保有する人は誰でも攻撃者にセッションIDを盗まれる可能性がある。しかし、金銭的な動機を持つ攻撃者は、最初に最大の組織に対して多面的な恐喝を実施することに焦点を当てている。それがうまくいかない場合、身代金を支払う可能性がある被害者を狙う」と語る。
連邦当局によると、ハッカーはCitrixBleedを悪用して要求されるパスワードや多要素認証を回避し(注6)、正規のユーザーセッションを乗っ取っているという。連邦当局はまた、攻撃に使用された悪用技術の詳細な分析結果も発表した(注7)。
米多州間情報共有・分析センター(MS-ISAC)でセキュリティオペレーションとインテリジェンスに関連する業務を担当するバイスプレジデントのランディ・ローズ氏は「中小企業や地方自治体に対する攻撃で、脅威グループがCitrixBleedを悪用しようとしている証拠がある」と述べた。
これらの組織の多くは、大企業や政府機関と比較してパッチを適切なタイミングで完全に実施するためのリソースが不足している。
Citrixは、2023年11月20日に公開したブログ記事で(注8)、顧客に対し、最新のビルドにアップグレードし、セキュリティログの確認を含む緩和策を講じるよう呼びかけた。
セキュリティ研究者のケビン・ボーモント氏は、CitrixBleedをここ数週間のいくつかの大規模な攻撃と関連付け(注9)、ブラックフライデーを前に、一部の小売業者は依然として無防備であると警告している。
CISAとFBIは、MS-ISACおよび豪サイバーセキュリティセンター(ACSC)と共同で勧告を発表した。
(注1)#StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability(CISA)
(注2)CISA launches ransomware warning pilot for critical infrastructure providers(Cybersecurity Dive)
(注3)Weeks after Boeing attack, ransomware group leaks allegedly stolen files(Cybersecurity Dive)
(注4)CitrixBleed sparks race to patch, hunt for malicious activity(Cybersecurity Dive)
(注5)CVE-2023-4966 Detail(NIST)
(注6)Citrix Netscaler patch for critical CVE bypassed by malicious hackers(Cybersecurity Dive)
(注7)MAR-10478915-1.v1 Citrix Bleed(CISA)
(注8)NetScaler investigation recommendations for CVE-2023-4966 (netscaler)
(注9)X(X)
© Industry Dive. All rights reserved.