悪用が進む脆弱性「CitrixBleed」 信用組合に関連したサプライチェーン攻撃を引き起こす:Cybersecurity Dive
CitrixBleedはBoeingをはじめとした多くの企業で悪用されている。今度はITベンダーであるTrellanceのグループ企業で事業継続サービスを提供するOngoing Operationsでネットワークインシデントが発生した。
全国信用組合管理(以下、NCUA)が2023年12月1日(現地時間、以下同)に発表したところによると、業界向けの第三者ITベンダーであるTrellanceに対するランサムウェア攻撃によって、約60の信用組合が停電に悩まされているという。
NCUAの代理ディレクター兼メディアリレーションズ・マネジャーであるジョゼフ・アダモリ氏は電子メールで「Trellanceのグループ企業であるOngoing Operationsが、2023年11月26日にランサムウェア攻撃の標的になった旨を、被害を受けた信用組合に通知した」と述べた。また、Trellanceのグループ企業であるFedCompも全国規模の停電を報告している。
Ongoing Operationsによると、このインシデントは同社のネットワークの一部に限定されたものだという。「このインシデントが当社のネットワークシステムに保存されている情報にどのような影響を与えたかについて、現在調査中である」と同社は2023年12月1日の声明で述べた(注1)。
相次ぐCitrixBleedを悪用したランサムウェア攻撃
サイバーセキュリティを研究するケビン・バーモント氏によると、このランサムウェア攻撃は、Citrixの脆弱(ぜいじゃく)性であるCVE-2023-4966に関連しているようだ(注2)(注3)(注4)。この脆弱性は、広く悪用される致命的なもので「CitrixBleed」と呼ばれている。
バーモント氏は2023年12月3日のブログ投稿で、「Ongoing Operationsの2つの『NetScaler』デバイスはまだオフラインのままだ。これによって業務が中断し、何百万人もの米国人に影響を与えている」と述べた。また、同氏によって投稿されたログによると、Ongoing Operationsが最後にCitrix NetScalerのアプリケーションデリバリーコントローラーを変更したのは2023年5月12日だった。
この広く悪用されている脆弱性は、Boeingや(注5)、Fidelity National Financialに対する最近のランサムウェア攻撃にも関連している(注6)。複数の侵害を受け、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年11月初旬に、組織に対してパッチを適用し、悪意のある活動を検出し報告するよう促した(注7)。
NCUAは財務省や米国連邦捜査局(FBI)、CISAに報告し、「連邦政府が補償する保険に加入している信用組合の組合員の預金は、国立信用組合共有保険基金によって最大で25万ドルまで保護されている」と述べた。
2023年、信用組合に対するランサムウェア攻撃数は増加しており、同年5月下旬にはファイル転送サービス「MOVEit Transfer」に対する攻撃が相次ぎ(注8)、複数の信用組合が影響を受けた。
「NCUAはこの種のインシデントを評価し、対応するための枠組みを持っている」とアダモリ氏は述べた。また、NCUAの議長であるトッド・ハーパー氏は2023年10月に「NCUAが連邦政府の保険が付された信用組合に対し、サイバーセキュリティインシデントを72日以内に報告するよう義務付けた後、最初の1カ月で146件のインシデント報告があった」と述べた(注9)。
(注1)Incident Status(ONGOING OPERATIONS)
(注2)CVE-2023-4966 Detail(NIST)
(注3)CitrixBleed sparks race to patch, hunt for malicious activity(Cybersecurity Dive)
(注4)What it means ― CitrixBleed ransomware group woes grow as over 60 credit unions, hospitals, financial services and more breached in US.(DoublePulsar)
(注5)Boeing confirms cyberattack, global services disrupted(Cybersecurity Dive)
(注6)For financial services firms, a pattern of malicious cyber activity is emerging(Cybersecurity Dive)
(注7)CitrixBleed sparks race to patch, hunt for malicious activity(Cybersecurity Dive)
(注8)MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims(Cybersecurity Dive)
(注9)NCUA Chairman Todd M. Harper Statement Following the Cybersecurity Update(National Credit Union Administration)
関連記事
- Citrix NetScalerの脆弱性を悪用した攻撃で、ボーイングの部品情報が漏えい
ランサムウェアグループLockBit 3.0の関係者は、CitrixBleedと呼ばれる脆弱性を悪用している。連邦当局は約300の組織に対し、攻撃を受ける脆弱性があると警告している。 - 今度は「ownCloud」で発生 ファイル転送サービスを狙うサイバー攻撃が相次ぐ
ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。 - Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 - 筆者が気になる2024年のセキュリティトピック AIやランサムウェアは今後どうなる?
新年第1回目の本コラムでは、セキュリティベンダー各社が公開している2024年のサイバーセキュリティ脅威予測の中でも筆者が興味深いと感じたものをピックアップして紹介します。
© Industry Dive. All rights reserved.