Хакеры взломали компании через уязвимость в ПО Citrix

В конце лета была выявлена критическая уязвимость CVE-2023-4966, известная также как Citrix Bleed, которая позволила хакерам проводить атаки на компании по всему миру. Перед тем, как вендор выпустил патч, хакеры смогли взломать сотни организаций, прежде всего нацеливаясь на правительственные и финансовые учреждения.

Citrix Bleed (CVE-2023-4966) представляет собой критическую уязвимость безопасности в двух программных продуктах компании Citrix: в программно-ориентированном решении Citrix NetScaler ADC, используемом для оптимизации доставки веб-приложений, а также в Citrix Gateway, который служит для безопасного удаленного доступа к гибридным облакам и SaaS. Выявленная в конце августа 2023 г., уязвимость получила уровень критичности 9,4. Эксплуатируя ее, злоумышленники могли получать несанкционированный доступ к системам компаний, создавая серьезные угрозы конфиденциальности и целостности данных. Только в течение 30 дней исследователи безопасности зафиксировали 250 IP-адресов, с которых пытались воспользоваться уязвимостью Citrix Bleed.

Узнав о дыре безопасности в отдельных продуктах Citrix, злоумышленники атаковали организации из различных отраслей: здравоохранение, финансы, госсектор, телекоммуникации и др. При этом, по словам специалистов по кибербезопасности, эксплуатация уязвимости Citrix Bleed, в ряде случаев ставила под угрозу самую широкую технологическую экосистему, включая серверы, приложения и системы, интегрированные с Citrix NetScaler.

Только в начале октября компания Citrix выпустила обновление для закрытия уязвимости, но многие компании могли не успеть установить его оперативно. Поэтому хакеры еще какое-то время использовали CVE-2023-4966 для взлома компаний. По словам экспертов, даже спустя месяц после выхода патча уязвимыми оставались более 10 тыс. серверов Citrix по всему миру.

Последней крупной жертвой эксплуатации Citrix Bleed стал провайдер кабельного интернета Xfinity — подразделение американского телекоммуникационного гиганта Comcast. В понедельник, 18 декабря, представители компании подтвердили, что хакеры получили доступ к ее внутренним системам в период с 16 по 19 октября, но вредоносная активность оставалась незамеченной до 25 октября. В обращении к генеральному прокурору штата Мэн Comcast заявила, что от взлома пострадали 35,8 млн клиентов Xfinity. В ходе расследования компания пришла к выводу, что хакеры могли получить доступ к именам, контактной информации, датам рождения, последним четырем цифрам номеров социального страхования, а также к секретным вопросам и ответам. Кроме того, были украдены хэшированные пароли. Xfinity попросила клиентов поменять пароли и использовать многофакторную аутентификацию.

Наиболее активно проблему безопасности в ПО Citrix использовала хакерская группировка LockBit, крупнейший оператор вируса-шифровальщика, работающий по схеме RaaS («вирус-вымогатель как услуга»). В частности, жертвой LockBit стал ICBC — крупнейший коммерческий банк Китая. В частности, инцидент вызвал проблему с клирингом. Банку не удалось провести некоторые сделки на рынке финансовых обязательств США.

До этого с атакой программы-вымогателя на ПО Citrix столкнулась компания DP World, оператор морских портов Австралии. Она была вынуждена приостановить работу контейнерных терминалов, в результате чего десятки тысяч объектов с грузами застряли в портах.

Ранее в конце октября операторы LockBit заявили, что им удалось взломать американскую авиастроительную корпорацию Boeing. ИБ-специалисты пришли к выводу, что хакеры смогли эксплуатировать уязвимость Citrix Bleed. Злоумышленники выложили в открытый доступ более 50 ГБ данных, украденных у корпорации. Большая часть этой информации представляет резервные копии систем Boeing, а также логи средств мониторинга и аудита.