悪用が進む脆弱性「CitrixBleed」 信用組合に関連したサプライチェーン攻撃を引き起こすCybersecurity Dive

CitrixBleedはBoeingをはじめとした多くの企業で悪用されている。今度はITベンダーであるTrellanceのグループ企業で事業継続サービスを提供するOngoing Operationsでネットワークインシデントが発生した。

» 2024年01月13日 07時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 全国信用組合管理(以下、NCUA)が2023年12月1日(現地時間、以下同)に発表したところによると、業界向けの第三者ITベンダーであるTrellanceに対するランサムウェア攻撃によって、約60の信用組合が停電に悩まされているという。

 NCUAの代理ディレクター兼メディアリレーションズ・マネジャーであるジョゼフ・アダモリ氏は電子メールで「Trellanceのグループ企業であるOngoing Operationsが、2023年11月26日にランサムウェア攻撃の標的になった旨を、被害を受けた信用組合に通知した」と述べた。また、Trellanceのグループ企業であるFedCompも全国規模の停電を報告している。

 Ongoing Operationsによると、このインシデントは同社のネットワークの一部に限定されたものだという。「このインシデントが当社のネットワークシステムに保存されている情報にどのような影響を与えたかについて、現在調査中である」と同社は2023年12月1日の声明で述べた(注1)。

相次ぐCitrixBleedを悪用したランサムウェア攻撃

 サイバーセキュリティを研究するケビン・バーモント氏によると、このランサムウェア攻撃は、Citrixの脆弱(ぜいじゃく)性であるCVE-2023-4966に関連しているようだ(注2)(注3)(注4)。この脆弱性は、広く悪用される致命的なもので「CitrixBleed」と呼ばれている。

 バーモント氏は2023年12月3日のブログ投稿で、「Ongoing Operationsの2つの『NetScaler』デバイスはまだオフラインのままだ。これによって業務が中断し、何百万人もの米国人に影響を与えている」と述べた。また、同氏によって投稿されたログによると、Ongoing Operationsが最後にCitrix NetScalerのアプリケーションデリバリーコントローラーを変更したのは2023年5月12日だった。

 この広く悪用されている脆弱性は、Boeingや(注5)、Fidelity National Financialに対する最近のランサムウェア攻撃にも関連している(注6)。複数の侵害を受け、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年11月初旬に、組織に対してパッチを適用し、悪意のある活動を検出し報告するよう促した(注7)。

 NCUAは財務省や米国連邦捜査局(FBI)、CISAに報告し、「連邦政府が補償する保険に加入している信用組合の組合員の預金は、国立信用組合共有保険基金によって最大で25万ドルまで保護されている」と述べた。

 2023年、信用組合に対するランサムウェア攻撃数は増加しており、同年5月下旬にはファイル転送サービス「MOVEit Transfer」に対する攻撃が相次ぎ(注8)、複数の信用組合が影響を受けた。

 「NCUAはこの種のインシデントを評価し、対応するための枠組みを持っている」とアダモリ氏は述べた。また、NCUAの議長であるトッド・ハーパー氏は2023年10月に「NCUAが連邦政府の保険が付された信用組合に対し、サイバーセキュリティインシデントを72日以内に報告するよう義務付けた後、最初の1カ月で146件のインシデント報告があった」と述べた(注9)。

© Industry Dive. All rights reserved.