據(jù)BleepingComputer 11月14日消息，Lockbit 勒索軟件正利用 Citrix Bleed已公開的漏洞 (CVE-2023-4966) 來破壞大型企業(yè)系統(tǒng)、竊取數(shù)據(jù)并加密文件。該組織近來因陸續(xù)攻擊勒索波音、中國工商銀行等知名企業(yè)而再度引發(fā)世人關(guān)注。

威脅研究員 Kevin Beaumont 一直在追蹤針對(duì)中國工商銀行、  DP World、Allen & Overy 和波音等多家公司的攻擊，發(fā)現(xiàn)了其中的一些共同點(diǎn)。這些暴露的 Citrix 服務(wù)器容易受到 Citrix Bleed 漏洞的影響。

《華爾街日?qǐng)?bào)》進(jìn)一步證實(shí)了這一點(diǎn)，該報(bào)獲得了美國財(cái)政部發(fā)給特定金融服務(wù)提供商的一封電子郵件，其中提到 LockBit 對(duì)中國工商銀行的網(wǎng)絡(luò)攻擊負(fù)有責(zé)任，該攻擊是通過利用 Citrix Bleed 缺陷實(shí)現(xiàn)。

根據(jù)日本威脅研究人員Yutaka Sejiyama與 BleepingComputer 分享的調(diào)查結(jié)果，截至撰寫本文時(shí)，超過 10400 臺(tái) Citrix 服務(wù)器容易受到 CVE-2023-4966 漏洞的攻擊。這些服務(wù)器中大多數(shù)位于美國，達(dá)3133 臺(tái)。

Sejiyama 的掃描顯示了上述大型關(guān)鍵組織中存在易受攻擊的服務(wù)器，所有這些服務(wù)器在公開披露該關(guān)鍵缺陷后整整一個(gè)月都沒有進(jìn)行修補(bǔ)。

Citrix Bleed 于 10 月 10 日首次披露了該漏洞，影響 Citrix NetScaler ADC 和網(wǎng)關(guān)，從而允許訪問敏感設(shè)備信息，并建議相關(guān)企業(yè)及時(shí)升級(jí)至已實(shí)施安全更新的修復(fù)版本。

Mandiant 報(bào)告稱，攻擊者 于 8 月下旬開始利用 Citrix Bleed，當(dāng)時(shí)該安全漏洞仍為零日漏洞。在攻擊中，黑客在多重身份驗(yàn)證階段（MFA）后使用 HTTP GET 請(qǐng)求來獲取 Netscaler AAA 會(huì)話 cookie。

Citrix 敦促管理員保護(hù)系統(tǒng)免受這種低復(fù)雜性、無交互的攻擊。10 月 25 日，外部攻擊面管理公司 AssetNote 發(fā)布了一個(gè)概念驗(yàn)證漏洞， 演示了如何竊取會(huì)話令牌。