Les pirates exploitent un computer virus du logiciel Citrix qui a été corrigé

Une faille critique dans le logiciel de Citrix Methods Inc., chief en matière d’accès à distance permettant aux utilisateurs de travailler n’importe où, a été exploitée par des pirates informatiques et des groupes criminels soutenus par le gouvernement, selon un cyber-responsable américain.

L. a. vulnérabilité, baptisée Citrix Bleed, a été secrètement exploitée par des pirates informatiques pendant des semaines avant d’être découverte et un correctif publié le mois dernier, selon les publications en ligne de Citrix et les chercheurs en cybersécurité. Depuis lors, les chercheurs affirment que les pirates ont accéléré leur exploitation de los angeles faille, ciblant certains des milliers de shoppers qui n’ont pas appliqué le correctif.

« Nous reconnaissons qu’un massive éventail d’acteurs malveillants, notamment des États-nations et des groupes criminels, cherchent à tirer parti de los angeles vulnérabilité Citrix Bleed », a déclaré Eric Goldstein, directeur exécutif associé pour los angeles cybersécurité à los angeles Cybersecurity and Infrastructure Safety Company des États-Unis, connue sous le nom de « Cybersecurity and Infrastructure Safety Company ». comme CISA. , selon Bloomberg Information.

Goldstein, qui a refusé de révéler leur identité, a déclaré que los angeles CISA apportait une help aux victimes. Il a déclaré que les adversaires pourraient exploiter cette vulnérabilité pour voler des informations sensibles et tenter d’obtenir un accès plus massive au réseau.

Citrix n’a pas répondu aux messages sollicitant des commentaires.

Parmi les groupes criminels exploitant los angeles vulnérabilité de Citrix Bleed determine l’un des pires gangs de piratage informatique au monde, LockBit, selon le consortium mondial de sécurité bancaire FS-ISAC, qui a publié mardi un bulletin de sécurité sur les risques pour les establishments financières.

Le Trésor américain a également déclaré qu’il enquêtait pour savoir si les vulnérabilités de Citrix étaient responsables de los angeles récente violation de ransomware débilitante contre l’Commercial and Industrial Financial institution of China Ltd, selon une personne proche du file. Le piratage a laissé los angeles plus grande banque du monde incapable de régler une grande partie des transactions sur les bons du Trésor américain. ICBC n’a pas répondu à une demande de commentaires.

LockBit a revendiqué los angeles responsabilité du piratage de los angeles Banque industrielle et commerciale de Chine (ICBC), et un représentant du gang a déclaré que los angeles banque avait payé une rançon, bien que Bloomberg n’ait pas été en mesure de confirmer cette confirmation de manière indépendante. Le Wall Side road Magazine avait déjà publié le mémorandum du Trésor américain.

Citrix a annoncé avoir découvert le computer virus Citrix Bleed le 10 octobre et publié un correctif. L. a. société a déclaré qu’à l’époque, rien n’indiquait que quiconque avait exploité cette vulnérabilité.

Cependant, depuis lors, plusieurs shoppers Citrix ont découvert qu’ils avaient été compromis avant los angeles e-newsletter du correctif, selon un article de Citrix et des chercheurs en cybersécurité. L’une des premières victimes a été le gouvernement européen, selon une supply proche du file, qui a refusé de nommer le can pay.

Le computer virus Citrix Bleed pourrait permettre à un pirate informatique de prendre le contrôle du système d’une victime, selon CISA. L. a. faille mérite son surnom automotive elle peut divulguer des informations sensibles de los angeles mémoire d’un appareil, selon Unit 42, los angeles branche de recherche de los angeles société de cybersécurité Palo Alto Networks Inc. Les données divulguées peuvent inclure des « jetons de consultation » permettant d’identifier et d’authentifier un visiteur. Un web site Internet ou un carrier spécifique sans saisir de mot de passe.

L. a. société de cybersécurité Mandiant a commencé à enquêter sur los angeles vulnérabilité dès que Citrix l’a signalée et a finalement trouvé plusieurs victimes avant que los angeles vulnérabilité ne soit annoncée ou corrigée, remontant à fin août.

Charles Carmakal, directeur de los angeles technologie au sein de los angeles branche conseil de Mandiant, a déclaré à Bloomberg que ces attaques initiales ne semblaient pas avoir de motivation financière. Il a ajouté que Mandiant était encore en educate d’évaluer si ces premiers piratages avaient été menés à des fins d’espionnage par un État-nation, peut-être los angeles Chine.

Lorsqu’on lui a demandé ses commentaires, l’ambassade de Chine à Washington n’a pas abordé los angeles vulnérabilité de Citrix mais a plutôt fait référence aux commentaires du 10 novembre du Département d’État. “L. a. Banque industrielle et commerciale de Chine surveille de près cette affaire et a pris des mesures d’intervention d’urgence efficaces et s’est engagée dans une supervision et une conversation appropriées afin de réduire les risques, l’have an effect on et les dommages”, a indiqué le ministère.

Citrix a mis à jour ses directives le 23 octobre, recommandant non seulement d’appliquer des correctifs, mais aussi de « supprimer toutes les classes actives et persistantes ».

Des milliers d’entreprises n’ont pas mis à jour leur logiciel Citrix et n’ont pas pris les autres mesures recommandées de toute urgence par l’entreprise, los angeles CISA et d’autres. Les équipes de l’Unité 42 de Palo Alto, qui ont également observé les groupes de ransomwares exploitant cette vulnérabilité, ont déclaré dans un article de weblog du 1er novembre qu’au moins 6 000 adresses IP semblaient vulnérables, le plus grand nombre de ces appareils étant situé aux États-Unis. vers d’autres appareils aux États-Unis. Allemagne, Chine et Royaume-Uni.

GreyNoise, une société qui analyse l’analyse par adresses IP, a signalé avoir vu 335 adresses IP uniques tenter d’utiliser l’exploit Citrix Bleed depuis qu’elle a commencé à le suivre le 17 octobre.

LockBit est le nom d’un gang et un kind de ransomware qu’ils produisent. Le FBI se dit responsable de plus de 1 700 attaques contre les États-Unis depuis 2020.

Le chercheur en sécurité Kevin Beaumont a déclaré que l’exploitation de los angeles vulnérabilité Citrix par LockBit s’étend à de nombreuses victimes. Il a déclaré dans un article sur Medium que le cupboard d’avocats Allen & Overy avait été piraté by the use of los angeles faille Citrix et que le géant de l’aérospatiale Boeing Co. et l’opérateur portuaire DP Global Plc disposait de machines Citrix non corrigées, permettant aux pirates informatiques d’exploiter los angeles faille.

Beaumont a décrit los angeles faille comme « incroyablement facile à exploiter » et a ajouté : « L. a. réalité de los angeles cybersécurité dans laquelle nous vivons actuellement est que les teens se retrouvent dans des gangs du crime organisé avec des bazookas numériques. »

Les représentants d’Allen & Overy, DP Global et Boeing n’ont pas précisé si le computer virus Citrix avait été exploité. Un porte-parole de l’entreprise a déclaré que l’incident chez Allen & Overy avait affecté un petit nombre de serveurs de stockage, mais que les systèmes centraux n’avaient pas été affectés. Un porte-parole de los angeles société a déclaré que los angeles violation, qui a affecté les pièces détachées et les systèmes de distribution de Boeing, faisait toujours l’objet d’une enquête.

Un représentant de DP Global a déclaré que los angeles société était limitée dans les détails qu’elle pouvait fournir en raison de los angeles nature proceed de l’enquête. Beaumont n’a pas répondu à une demande de commentaire.

2023 Bloomberg LP Distribué par Tribune Content material Company, LLC.