سیتریکس پچ اصلاحی نهایی خود را برای مقابله با حملات باج افزار منتشر کرد

سیتریکس پچ اصلاحی نهایی خود را برای مقابله با حملات باج افزار منتشر کرد

سیتریکس آخرین اطلاحات دائمی را برای آسیب پذیری اکسپلویت فعال CVE-2019-19781 منتشر کرد که برای تامین امنیت Citrix Application Delivery Controller (ADC)، Citrix Gateway و Citrix SD-WAN WANOP مورد نیاز می باشد.

یک مسئول ارشد امنیت اطلاعات سیتریکس به نام Fermin J.Serna می گوید: امروز، ما اصلاحات دائمی برای نسخه 10.5 برنامه Citrix Application Delivery Controller را منتشر کردیم تا به آسیب پذیری CVE-2019-19781 بپردازیم.

ما اکنون اطلاحات دائمی برای همه نسخه های پشتیبانی شده ADC، Gateway و SD-WAN WANOP منتشر کرده ایم.

این اصلاحات در دسترس همه مشتریان می باشد و می توانند برای  Gateway، ADC و SD-WAN آن را دانلود کنند.

سیتریکس به همه مشتریان توصیه می کند که برای جلوگیری از حمله هایی که می تواند به مهاجمان غیر مجاز اجازه دهد که کد دلخواه را روی سرورهای پچ نشده اجرا کنند، سریعاً این اطلاحات را نصب کنند.

اپلاینس های سیتریکس آسیب پذیر تحت حمله باج افزار

محققان FireEye به تازگی دریافتند که یکی از عوامل ناشناخته، به طور فعال اسکن می کند و سرورهای Citrix ADC را در برابر تلاشهای اکسپلویت CVE-2019-19781 پچ می کند، در حالیکه همچنین یک خانواده جدید از بدافزار به نام NOTROBIN را دیپلوی می کند که طراحی شده است که از یک backdoor برای حفظ دسترسی سیستمهای در معرض خطر استفاده کند.

در این گزارش آمده است: FireEye معتقد است که این بازیگر ممکن است بی سر و صدا در حال جمع آوری دسترسی دستگاه های NetScaler برای کمپین بعدی می باشد.

در گزارشی که امروز منتشر شد، FireEye از تاریخ 10 ژانویه پس از ردیابی "اکسپلویت گسترده جهانی CVE-2019-19781" می گوید، از این آسیب پذیری برای دیپلوی باج افزار استفاده می شود.

این عامل تهدید مشاهده شده توسط محققان، یک باینری مخرب را با یک زمان سنج تا 16 ژانویه که احتمالاً در تلاش بوده تا به طور مناسب باج افزاری به نام Ragnarok را مستقر کند.

این قضیه توسط تحلیلگر بدافزار G DATA به نام Karsten Hahn در توییتی با توصیف نمونه بدافزار موجود در VirusTotal که مربوط به آلودگی Ragnarok بود، تائید شد.

متن باج خواهی Ragnarok

این واقعیت که سرورهای سیتریکس پچ نشده از طرف مهاجمان به عنوان پله به سمت شبکه های قربانیان باج افزار استفاده می شود، امروز نیز در توییتر توسط Andrew Thompson محقق امنیتی Breach و FireEye تائید شد.

مطابق با یک مقاله عمومی به اشتراک گذاشته شده توسط Victor Gevers محقق GDI Foundation در حال حاضر 10.787 سرور آسیب پذیر Citrix وجود دارد که افت شدیدی دارد در مقایسه با 128.777 نمونه ابتدایی که وی قادر به کشف در 31 دسامبر 2019 بود.

دو روز پیش، Citrix یک اسکنر رایگان برای شناسایی اپلاینس های Citrix ADC هک  شده منتشر کرد که با همکاری FireEye که در جستجوی شاخص سازش CVE-2019-19781 کار می کند.

قضیه اکسپلویت CVE-2019-19781 دو روز پس از اسکن برای سرورهای آسیب پذیر Citrix توسط محققان امنیتی در 8 ژانویه منتشر شد.

همانطور که دیروز توسط شرکت امنیتی Bad Packets کشف شد، اسکن گسترده برای اپلاینس های Citrix پچ نشده هنوز در حال انجام می باشد.

حملات باج افزار Sodinokibi

با توجه به FireEye که افشا کرد سرورهای Citrix پچ نشده به عنوان نقاط اولیه سازش توسط باج افزار استفاده می شود، Under the Breach توانست تایید کند که این تاکتیک توسط اپراتورهای باج افزار Sodinokibi در حداقل یک مورد استفاده شده است.

شهر Potsdam همچنین اعلام کرد که مجبور است اتصال اینترنتی سرورهای دولتی را پس از حمله سایبری از اوایل این هفته قطع کند.

در حالیکه شهر Potsdam بروز می شود، اعلام نکرد که مهاجمان برای نفوذ به شبکه شهر از چه متدی استفاده کردند. سرورهای آسیب پذیر Citrix ADC توسط روزنامه نگار آلمانی Hanno Bockon در شبکه دولت کشف شد.

منبع: BleepingComputer.com