本周对全球最大银行 - 中国工商银行（ICBC）的破坏性勒索软件攻击可能与 Citrix 上个月披露的 NetScaler 技术中的一个关键漏洞有关。这一情况凸显了为什么企业需要立即针对这一威胁打补丁。

所谓的"CitrixBleed"漏洞（CVE-2023-4966）影响多个内部部署版本的 Citrix NetScaler ADC 和 NetScaler Gateway 应用交付平台。

在 CVSS 3.1 分级中，该漏洞的严重性为 9.4 分（满分 10 分），攻击者可借此窃取敏感信息并劫持用户会话。Citrix 称该漏洞可被远程利用，攻击复杂度低，无特殊权限，也无需用户交互。

在 Citrix 于 10 月 10 日发布受影响软件的更新版本之前几周，威胁者自 8 月份以来就一直在积极利用该漏洞。发现并向 Citrix 报告该漏洞的 Mandiant 研究人员还强烈建议企业终止每个受影响 NetScaler 设备上的所有活动会话，因为即使在更新后，验证会话仍有可能继续存在。

对工商银行美国分行的勒索软件攻击似乎是漏洞利用活动的一个公开表现。该银行在本周早些时候的一份声明中披露，它在 11 月 8 日遭遇了勒索软件攻击，导致部分系统瘫痪。《金融时报》和其他媒体援引消息人士的话称，LockBit 勒索软件运营商是这次攻击的幕后黑手。

安全研究员凯文-博蒙特（Kevin Beaumont）指出，中国工商银行11月6日未打补丁的Citrix NetScaler是LockBit行动者的一个潜在攻击媒介。

博蒙特说："截至撰写本篇文章时，仍有超过 5000 个组织没有为 #CitrixBleed 打补丁。它允许攻击者完全、轻松地绕过所有形式的身份验证，正在被勒索软件集团利用。它就像在组织内部指点和点击一样简单，让攻击者在另一端拥有一台完全交互的远程桌面电脑。"

最近几周，针对未减弱的 NetScaler 设备的攻击已成为大规模利用的对象。公开的缺陷技术细节至少助长了部分攻击活动。

ReliaQuest 本周的一份报告显示，目前至少有四个有组织的威胁组织正在针对该漏洞进行攻击。其中一个组织已经自动利用了 CitrixBleed。ReliaQuest报告称，就在11月7日至11月9日期间，观察到了"多起以Citrix Bleed利用为特征的独特客户事件"。

ReliaQuest 表示："ReliaQuest 在客户环境中发现了多起威胁行为者使用 Citrix Bleed 漏洞利用的案例。"该公司指出："在获得初始访问权限后，攻击者迅速对环境进行枚举，重点是速度而不是隐蔽性。ReliaQuest 说，在一些事件中，攻击者外泄了数据，而在另一些事件中，他们似乎试图部署勒索软件。"

互联网流量分析公司GreyNoise的最新数据显示，至少有51个IP地址试图利用CitrixBleed，低于10月底的70个左右。

利用活动促使美国网络安全和基础设施安全局（CISA）本周发布了应对 CitrixBleed 威胁的新指南和资源。CISA 警告说，该漏洞会被"主动、有针对性地利用"，并敦促各组织"将不受限制的设备更新到 Citrix 上个月发布的更新版本"。

该漏洞本身是一个缓冲区溢出问题，可导致敏感信息泄露。当 NetScaler 配置为身份验证、授权和计费（AAA）或网关设备（如 VPN 虚拟服务器或 ICA 或 RDP 代理）时，该漏洞会影响内部部署版本。