هکرها از Citrix zero day برای هدف قرار دادن زیرساخت های حیاتی ایالات متحده سوء استفاده می کنند
به گزارش سایت نود و هشت زوم هکرها از Citrix zero day برای هدف قرار دادن زیرساخت های حیاتی ایالات متحده سوء استفاده می کنند
که در این بخش به محتوای این خبر با شما کاربران گرامی خواهیم پرداخت
هزاران شرکت ممکن است در معرض خطر بهره برداری فعال سیتریکس zero-day باشند که هکرها قبلاً از آن برای هدف قرار دادن حداقل یک سازمان زیرساخت حیاتی در ایالات متحده سوء استفاده کرده اند.
Citrix هفته گذشته زنگ خطر را در مورد نقص با رتبه بحرانی به صدا درآورد، که به عنوان CVE-2023-3519 با رتبه بندی شدت 9.8 از 10 ردیابی شد، که بر دستگاه های NetScaler ADC و NetScaler Gateway تأثیر می گذارد. این محصولات شرکتی برای تحویل امن برنامه ها و ارائه اتصال VPN طراحی شده اند و به طور گسترده در سراسر جهان، به ویژه در سازمان های زیرساخت حیاتی استفاده می شوند.
Citrix هشدار داد که روز صفر میتواند به یک مهاجم غیرقانونی و از راه دور اجازه دهد تا کد دلخواه را روی یک دستگاه اجرا کند و گفت که شواهدی دارد که نشان میدهد این آسیبپذیری در طبیعت مورد سوء استفاده قرار گرفته است. سیتریکس بهروزرسانیهای امنیتی این آسیبپذیری را در 18 جولای منتشر کرد و از مشتریان میخواهد تا در اسرع وقت این وصلهها را نصب کنند.
چند روز پس از هشدار Citrix، آژانس امنیت سایبری ایالات متحده CISA فاش کرد که این آسیب پذیری علیه یک سازمان زیرساخت حیاتی ایالات متحده در ماه ژوئن مورد سوء استفاده قرار گرفته است و اوایل ماه جولای به آژانس گزارش شده است.
CISA گفت که هکرها از این نقص برای انداختن پوسته وب روی دستگاه NetScaler ADC سازمان سوء استفاده کردند و آنها را قادر میسازد تا دادهها را از Active Directory سازمان جمعآوری و استخراج کنند، از جمله اطلاعات مربوط به کاربران، گروهها، برنامهها و دستگاههای موجود در شبکه. اما از آنجایی که ابزار مورد نظر در شبکه سازمان ایزوله شده بود، هکرها قادر به حرکت جانبی نبودند و کنترل کننده دامنه را به خطر انداختند.
در حالی که این سازمان با موفقیت توانست هکرهایی را که سیستم هایش را هدف قرار می دهند دفع کند، هزاران سازمان دیگر ممکن است در معرض خطر باشند. بنیاد Shadowserver، یک سازمان غیرانتفاعی که برای ایمنتر کردن اینترنت کار میکند، گفت پیدا کرده است بیش از 15000 سرور Citrix در سراسر جهان در معرض خطر قرار دارند مگر اینکه وصله ها اعمال شوند.
بر اساس تجزیه و تحلیل آنها، بیشترین تعداد سرورهای اصلاح نشده در ایالات متحده (5700) و پس از آن آلمان (1500)، بریتانیا (1000) و استرالیا (582) قرار دارند.
هنوز مشخص نیست که چه کسی در پشت بهره برداری از این آسیب پذیری قرار دارد، اما آسیب پذیری های Citrix هم توسط مجرمان سایبری با انگیزه مالی و هم عاملان تهدید تحت حمایت دولت، از جمله گروه های مرتبط با چین، مورد سوء استفاده قرار می گیرند.
در یک پست وبلاگی که در آخر هفته منتشر شد، محققان Mandiant گفتند که اگرچه هنوز نمیتوانند این نفوذها را به هیچ گروه تهدید شناخته شده نسبت دهند، اما این فعالیت «با عملیاتهای قبلی بازیگران China-nexus بر اساس تواناییها و اقدامات شناخته شده علیه Citrix ADC در سال 2022 سازگار است». Mandiant اضافه کرد که این نفوذها احتمالاً بخشی از یک کمپین جمع آوری اطلاعات است و خاطرنشان کرد که عوامل تهدید با انگیزه جاسوسی همچنان به هدف قرار دادن فناوری هایی که از راه حل های تشخیص نقطه پایانی و پاسخ پشتیبانی نمی کنند، مانند فایروال ها، دستگاه های IoT، هایپروایزر و VPN ها ادامه می دهند.
محققان میگویند: «ماندیانت دهها نفوذ در پایگاههای صنعتی دفاعی (DIB)، دولت، فناوری و سازمانهای مخابراتی را در طول سالها مورد بررسی قرار داده است، جایی که گروههای مشکوک چین-nexus از آسیبپذیریهای روز صفر سوءاستفاده کرده و بدافزار سفارشی را برای سرقت اعتبار کاربران و حفظ دسترسی طولانیمدت به محیطهای قربانی مستقر کردهاند.
امیدواریم از این مقاله مجله نود و هشت زوم نیز استفاده لازم را کرده باشید و در صورت تمایل آنرا با دوستان خود به اشتراک بگذارید و با امتیاز از قسمت پایین و درج نظرات باعث دلگرمی مجموعه مجله 98zoom باشید
لینک کوتاه مقاله : https://5ia.ir/nCpHru
کوتاه کننده لینک
کد QR :
آخرین دیدگاهها