Inscreva-se no grupo de análise e inteligência no Telegram ▶️ https://t.me/areamilitar
Uma falha crítica no software da Citrix Systems Inc., uma empresa pioneira no acesso remoto para que as pessoas possam trabalhar em qualquer lugar, foi explorada por hackers e grupos criminosos apoiados pelo governo, de acordo com um oficial cibernético dos EUA.
A falha, apelidada de Citrix Bleed, foi abusada por hackers em segredo durante semanas antes de ser encontrada e uma correção foi emitida no mês passado, de acordo com postagens online da Citrix e pesquisadores de segurança cibernética. Desde então, os pesquisadores dizem que os hackers aceleraram a exploração do bug, visando alguns dos milhares de clientes que não aplicaram um patch.
“Estamos cientes de que uma grande variedade de atores maliciosos, incluindo grupos estatais e criminosos, estão focados em aproveitar a vulnerabilidade Citrix Bleed”, disse Eric Goldstein, diretor-assistente executivo de segurança cibernética da Agência de Segurança Cibernética e de Infraestrutura dos EUA, conhecida como CISA. , disse à Bloomberg News.
A CISA está prestando assistência às vítimas, disse Goldstein, que se recusou a identificá-las. Os adversários poderiam explorar a vulnerabilidade para roubar informações confidenciais e tentar obter acesso mais amplo à rede, disse ele.
A Citrix não respondeu às mensagens solicitando comentários.
Agora estamos no WhatsApp. Clique para participar.
Entre os grupos criminosos que exploram o bug Citrix Bleed está uma das gangues de hackers mais notórias do mundo, a LockBit, de acordo com um consórcio global de segurança bancária, o FS-ISAC, que na terça-feira emitiu um boletim de segurança sobre o risco para as instituições financeiras.
O Tesouro dos EUA também disse que está investigando se as vulnerabilidades da Citrix são responsáveis pelo recente e debilitante hack de resgate contra o Banco Industrial e Comercial da China Ltd., de acordo com uma pessoa familiarizada com o assunto. A violação tornou o maior banco do mundo incapaz de limpar partes das negociações do Tesouro dos EUA. O ICBC não respondeu a um pedido de comentário.
A LockBit reivindicou o crédito pelo hack do ICBC, e um representante da gangue disse que o banco pagou um resgate, embora a Bloomberg não tenha conseguido confirmar a reivindicação de forma independente. O Wall Street Journal publicou anteriormente a nota do Tesouro dos EUA.
A Citrix anunciou que descobriu o bug Citrix Bleed em 10 de outubro e lançou um patch. A empresa disse que, na época, não havia sinal de que alguém tivesse explorado a vulnerabilidade.
Desde então, no entanto, vários clientes da Citrix descobriram que foram violados antes do patch ser lançado, de acordo com uma publicação da Citrix e pesquisadores de segurança cibernética. Uma das primeiras vítimas foi um governo europeu, segundo uma pessoa familiarizada com o assunto, que se recusou a revelar o nome do país.
O bug Citrix Bleed pode permitir que um hacker assuma o controle do sistema da vítima, de acordo com a CISA. A falha ganhou esse apelido porque pode vazar informações confidenciais da memória de um dispositivo, de acordo com o braço de pesquisa da empresa de segurança cibernética da Palo Alto Networks Inc., Unidade 42. Os dados vazados podem incluir “tokens de sessão” que podem identificar e autenticar um visitante para um site ou serviço específico sem inserir uma senha.
A empresa de segurança cibernética Mandiant começou a investigar a vulnerabilidade assim que a Citrix a sinalizou e, finalmente, encontrou várias vítimas antes de o bug ser tornado público ou ter sido corrigido, desde o final de agosto.
Charles Carmakal, diretor de tecnologia do braço de consultoria da Mandiant, disse à Bloomberg que esses ataques iniciais não pareciam motivados financeiramente. A Mandiant ainda está avaliando se essas primeiras invasões foram conduzidas para fins de espionagem por um Estado-nação, possivelmente a China, disse ele.
Solicitada a comentar, a embaixada chinesa em Washington não abordou a vulnerabilidade do Citrix, mas referiu-se aos comentários de 10 de novembro do Ministério das Relações Exteriores. “O ICBC está acompanhando isso de perto e tomou medidas eficazes de resposta a emergências e se engajou na supervisão e comunicação adequadas, a fim de minimizar riscos, impactos e danos”, disse o ministério.
A Citrix atualizou suas orientações em 23 de outubro, recomendando não apenas a aplicação de patches, mas também “eliminação de todas as sessões ativas e persistentes”.
Milhares de empresas não atualizaram seus softwares Citrix e tomaram outras medidas que a empresa, a CISA e outras recomendaram urgentemente. As equipes da Unidade 42 de Palo Alto, que também observaram grupos de ransomware explorando o bug, disseram em um blog de 1º de novembro que pelo menos 6.000 endereços IP pareciam vulneráveis e que o maior número desses dispositivos está localizado nos EUA, assim como outros em Alemanha, China e Reino Unido.
GreyNoise, uma empresa que analisa a varredura por endereços IP, relatou que viu 335 endereços IP exclusivos tentando usar o exploit Citrix Bleed desde que começou a rastreá-lo em 17 de outubro.
LockBit é o nome de uma gangue e de um tipo de ransomware que ela produziu. O FBI afirma ser responsável por mais de 1.700 ataques contra os EUA desde 2020.
Um pesquisador de segurança, Kevin Beaumont, disse que a exploração da falha Citrix pela LockBit se estende a várias vítimas. O escritório de advocacia Allen & Overy foi violado por meio da falha Citrix, disse ele em uma postagem no Medium, e a gigante da aviação Boeing Co. e a operadora portuária DP World Plc não corrigiram dispositivos Citrix, permitindo que hackers explorassem potencialmente o bug.
Beaumont descreveu a falha como “incrivelmente fácil de explorar” e acrescentou: “A realidade da segurança cibernética em que vivemos agora é que os adolescentes estão circulando em gangues do crime organizado com bazucas digitais”.
Representantes da Allen & Overy, DP World e Boeing não abordaram se o bug da Citrix foi explorado. O incidente na Allen & Overy impactou um pequeno número de servidores de armazenamento, mas os sistemas centrais não foram afetados, disse um porta-voz. A violação que afeta as peças e o sistema de distribuição da Boeing continua sob investigação, disse um porta-voz.
Um representante da DP World disse que a empresa está limitada nos detalhes que poderia fornecer devido à natureza contínua da investigação. Beaumont não respondeu a um pedido de comentário.
Mais uma coisa! HT Tech agora está nos canais do WhatsApp! Siga-nos clicando no link para nunca perder nenhuma atualização do mundo da tecnologia. Clique aqui para aderir agora!
