本週對全球最大銀行- 中國工商銀行（ICBC）的破壞性勒索軟體攻擊可能與Citrix 上個月披露的NetScaler 技術中的一個關鍵漏洞有關。這一情況凸顯了為什麼企業需要立即針對這項威脅打補丁。

所謂的”CitrixBleed”漏洞（CVE-2023-4966）影響多個內部部署版本的Citrix NetScaler ADC 和NetScaler Gateway 應用程式交付平台。

在CVSS 3.1 分級中，此漏洞的嚴重性為9.4 分（滿分10 分），攻擊者可藉此竊取敏感資訊並劫持使用者會話。Citrix 稱漏洞可遠端利用，攻擊複雜度低，無特殊權限，無需使用者互動。

在Citrix 於10 月10 日發布受影響軟體的更新版本之前幾週，威脅者自8 月以來就一直在積極利用漏洞。發現並向Citrix 報告漏洞的Mandiant 研究人員也強烈建議企業終止每個受影響NetScaler 裝置上的所有活動會話，因為即使在更新後，驗證會話仍有可能繼續存在。

對工商銀行美國分行的勒索軟體攻擊似乎是漏洞利用活動的一個公開表現。該銀行在本週稍早的聲明中披露，它在11 月8 日遭遇了勒索軟體攻擊，導致部分系統癱瘓。《金融時報》和其他媒體引述消息人士的話稱，LockBit 勒索軟體業者是這次攻擊的幕後黑手。

安全研究員凱文-博蒙特（Kevin Beaumont）指出，中國工商銀行11月6日未修補的Citrix NetScaler是LockBit行動者的潛在攻擊媒介。

博蒙特說：”截至撰寫本篇文章時，仍有超過5000 個組織沒有為#CitrixBleed 打補丁。它允許攻擊者完全、輕鬆地繞過所有形式的身份驗證，正在被勒索軟體集團利用。它就像在組織內部指點和點擊一樣簡單，讓攻擊者在另一端擁有一台完全互動的遠端桌面電腦。”

最近幾週，針對未減弱的NetScaler 設備的攻擊已成為大規模利用的對象。公開的缺陷技術細節至少助長了部分攻擊活動。

ReliaQuest 本週的一份報告顯示，目前至少有四個有組織的威脅組織正在針對該漏洞進行攻擊。其中一個組織已經自動利用了CitrixBleed。ReliaQuest報告稱，就在11月7日至11月9日期間，觀察到了”多起以Citrix Bleed利用為特徵的獨特客戶事件”。

ReliaQuest 表示：”ReliaQuest 在客戶環境中發現了多起威脅行為者使用Citrix Bleed 漏洞利用的案例。”該公司指出：”在獲得初始訪問權限後，攻擊者迅速對環境進行枚舉，重點是速度而不是隱蔽性。ReliaQuest 說，在某些事件中，攻擊者外洩了數據，而在另一些事件中，他們似乎試圖部署勒索軟體。”

網路流量分析公司GreyNoise的最新數據顯示，至少有51個IP位址試圖利用CitrixBleed，低於10月底的70個左右。

利用活動促使美國網路安全與基礎設施安全局（CISA）本週發布了應對CitrixBleed 威脅的新指南和資源。CISA 警告說，該漏洞會被”主動、有針對性地利用”，並敦促各組織”將不受限制的設備更新到Citrix 上個月發布的更新版本”。

該漏洞本身是一個緩衝區溢位問題，可導致敏感資訊外洩。當NetScaler 設定為驗證、授權和計費（AAA）或閘道設備（如VPN 虛擬伺服器或ICA 或RDP 代理）時，此漏洞會影響內部部署版本。