{"id":288268,"date":"2023-11-15T15:07:55","date_gmt":"2023-11-15T14:07:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288268"},"modified":"2023-11-15T15:07:55","modified_gmt":"2023-11-15T14:07:55","slug":"citrix-bleed-lockbit-gruppe-nutzt-schwachstelle-cve-2023-4966-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/15\/citrix-bleed-lockbit-gruppe-nutzt-schwachstelle-cve-2023-4966-aus\/","title":{"rendered":"Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus"},"content":{"rendered":"

\"Sicherheit[English]Ende Oktober 2023 war die Schwachstelle CVE-2023-4966 \u00f6ffentlich durch Citrix bekannt gemacht geworden.  Unter dem Begriff \"Citrix Bleed\" haben Sicherheitsforscher beschrieben, wie Citrix NetScaler ADC und Gateway Sitzungs-Tokens an Angreifer verraten und ein Proof of Concept (PoC) vorgelegt. Nun nutze die Ransomware-Gruppe Lockbit diese Citrix Bleed-Schwachstelle (CVE-2023-4966), um in die Systeme gro\u00dfer Unternehmen einzudringen, Daten zu stehlen und Dateien zu verschl\u00fcsseln.<\/p>\n

<\/p>\n

Citrix Schwachstelle CVE-2023-4966<\/h2>\n

\"\"Citrix hat zum 10. Oktober 2023 die Sicherheitswarnung CTX579459<\/a> (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitsl\u00fccken entdeckt. Bei der hier gegenst\u00e4ndlichen Schwachsetlle CVE-2023-4966 handelt es sich um eine Information Disclosure-Schwachstelle, die mit dem CVSS Index 9.4 eingestuft wurde. \u00dcber die Schwachstelle lassen sich Informationen abziehen. <\/p>\n

Betroffene Kunden wurden aufgefordert, entsprechenden aktualisierten Versionen von NetScaler ADC und NetScaler Gateway so bald wie m\u00f6glich zu installieren. Ich hatte die Details im Blog-Beitrag Citrix NetScaler ADC und Gateway: Schwachstellen (CVE-2023-4966 und CVE-2023-4967)<\/a> beschrieben. Und im Blog-Beitrag Citrix Bleed: Schwachstelle CVE-2023-4966 verr\u00e4t Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verf\u00fcgbar<\/a> hatte ich \u00fcber die \u00f6ffentlich verf\u00fcgbaren Proof of Concept (PoC) Ans\u00e4tze berichtet sowie vor deren Ausnutzung gewarnt. <\/p>\n

\n

Citrix NetScaler ist ein Netzwerkger\u00e4t, das Load Balancing-, Firewall- und VPN-Dienste bereitstellt. NetScaler Gateway bezieht sich in der Regel auf die VPN- und Authentifizierungskomponenten, w\u00e4hrend ADC sich auf die Lastausgleichs- und Verkehrsmanagementfunktionen bezieht. Die Produkte sind immer wieder f\u00fcr Probleme und Schwachstellen gut.<\/p>\n<\/blockquote>\n

Lockbit-Gruppe nutzt Citrix Bleed<\/h2>\n

Nun ist mir nachfolgender Tweet untergekommen, wo vor der Ausnutzung der Citrix Bleed-Schwachstelle (CVE-2023-4966) durch die Ransomware-Gruppe Lockbit gewarnt wird. RedPacket Security hat das Ganze in diesem Artikel<\/a> dokumentiert. <\/p>\n

\"Lockbit-Gruppe<\/a><\/p>\n

In Kurzfassung: Obwohl Citrix bereits vor mehr als einem Monat Korrekturen f\u00fcr die Schwachstelle CVE-2023-4966 zur Verf\u00fcgung gestellt hat, laufen immer noch Tausende von Instanzen, die per Internet erreichbar und nicht gepatcht sind. <\/p>\n

\"Citrix
Citrix Instances vulnerable; Source RedPacket Security<\/p>\n

Nun \"erbarmt sich die Lockbit-Ransomware-Gruppe dieser ungepatchten Citrix-Instanzen. Die Gruppe nutzt \u00f6ffentlich verf\u00fcgbare Exploits f\u00fcr Angriffe \u00fcber die Citrix Bleed-Schwachstelle (CVE-2023-4966). Der Gruppe ist es gelungen, in die Systeme gro\u00dfer Unternehmen einzudringen, Daten zu stehlen und Dateien zu verschl\u00fcsseln.<\/p>\n

Sicherheitsforscher Kevin Beaumont hat Angriffe auf verschiedene Unternehmen, darunter die Industrial and Commercial Bank of China (ICBC), DP World, Allen & Overy und Boeing, verfolgt und festgestellt, dass sie etwas gemeinsam haben. Es handelt sich um exponierte Citrix-Server [hier<\/a> und hier<\/a>], die f\u00fcr die Citrix Bleed-Schwachstelle anf\u00e4llig sind. Beaumont ist der Meinung, dass diese Schwachstelle von der LockBit-Ransomware-Bande ausgenutzt wurde, um die obigen Hacks auszuf\u00fchren.<\/p>\n

Das Wall Street Journal erhielt eine E-Mail des US-Finanzministeriums, die an ausgew\u00e4hlte Finanzdienstleister geschickt wurde. Dort wurde erw\u00e4hnt, dass LockBit f\u00fcr den Cyberangriff auf ICBC verantwortlich war (ich hatte diesen Fall hier im Blog nicht erw\u00e4hnt). Es ist davon auszugehen, dass der Hack der Industrial and Commercial Bank of China (ICBC) durch Ausnutzung der Citrix Bleed-Schwachstelle erfolgte. Auch der Cyberangriff auf australische H\u00e4fen (siehe Cyberangriff zwingt Australiens H\u00e4fen in den Shutdown<\/a>) sowie auf Boeing (siehe Boeing untersucht den Angriff durch Lockbit \u2013 Service-Webseite abgeschaltet<\/a>) wird oben in diesem Zusammenhang genannt. <\/p>\n

Da LockBit als Ransomware-as-a-Service agiert, wird ein LockBit-Partner die Angriffe h\u00f6chstwahrscheinlich \u00fcber die oben genannte Schwachstelle ausf\u00fchren, <\/p>\n

Diese Angriffe werden wahrscheinlich von einemdurchgef\u00fchrt, der diese Schwachstelle ausnutzt, um in Netzwerke einzudringen, und nicht die Ransomware-um anschlie\u00dfend in die Netzwerke der Unternehmen einzudringen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ende Oktober 2023 war die Schwachstelle CVE-2023-4966 \u00f6ffentlich durch Citrix bekannt gemacht geworden.  Unter dem Begriff \"Citrix Bleed\" haben Sicherheitsforscher beschrieben, wie Citrix NetScaler ADC und Gateway Sitzungs-Tokens an Angreifer verraten und ein Proof of Concept (PoC) vorgelegt. Nun nutze … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7843,4328],"class_list":["post-288268","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-citrix","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288268","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288268"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288268\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}