LockBit の攻撃対象は Citrix Bleed? ICBC/Boeing などへの侵害の手口を追跡

LockBit ransomware exploits Citrix Bleed in attacks, 10K servers exposed

2023/11/14 BleepingComputer — Citrix Bleed と名付けられた脆弱性 CVE-2023-4966 の、PoC エクスプロイトを悪用する Lockbit ランサムウェアが、大規模な組織のシステムに侵入し、データを盗み、ファイルを暗号化している。この脆弱性 CVE-2023-4966 については、1カ月以上も前に Citrix が修正プログラムを公開しているが、インターネットに露出した何千ものエンドポイントにおいて、依然として脆弱なアプライアンスが運用されている。また、その多くは、米国内に存在している。

Lockbit ランサムウェアの攻撃

中国工商銀行 (ICBC)/DP World/Allen & Overy/Boeing などの、さまざまな企業に対する攻撃を追跡している脅威リサーチャー Kevin Beaumont は、一連の攻撃に共通点があることを発見した。

それらの企業は、脆弱性 Citrix Bleed を持つ Citrix サーバ [12] をインターネットに露出しており、それを悪用する LockBit ランサムウェアが攻撃を行っているという。

DP World running a vulnerable Citrix server
DP World running Citrix server vulnerable to Citrix Bleed flaw
Source: Kevin Beaumont

米国財務省が一部の金融サービス・プロバイダーに送った電子メールを入手した Wall Street Journal によると、脆弱性 Citrix Bleed を悪用する LockBit が、ICBC へのサイバー攻撃を仕掛けたようだ。この脆弱性を悪用する LockBit が ICBC に侵入したのであれば、同じ手口で Boeing や DP World にも侵入したと考えられる。

これらの攻撃を操っているのは LockBit 自身ではなく、Citrix Bleed に対する広範な攻撃を仕掛ける、LockBit アフィリエイトの可能性が高い。LockBit は最大の RaaS (Ransomware-as-a-Service) であり、ネットワークを侵害する方法については、アフィリエイトたちに完全な裁量権を与えている。それらのアフィリエイトの中には、GandCrab/Revil に所属するものもいて、特定の業界や企業にイニシャル・アクセスが集中することも珍しくはない。

たとえば、GandCrab/Revil のアフィリエイトたちは、MSP ソフトウェア [123] を悪用して、企業の資産を暗号化することに特化している。また、LockBit のアフィリエイトたちは、脆弱性 Citrix Bleed を悪用して、ネットワークを大量に侵害しているようだ。

大規模な攻撃対象

BleepingComputer に寄せられた、日本の脅威研究者 Yutaka Sejiyama の調査結果によると、この記事の執筆時点で、10,400台以上の Citrix サーバが脆弱性 CVE-2023-4966 を抱えているという。

それらのサーバの大部分である 3,133台は米国にあり、それに続くのが、ドイツ 1,228台/中国 733台/英国 558台/オーストラリア 381台/カナダ 309台/フランス 301台/イタリア 277台/スペイン 252台/オランダ 244台/スイス215台とななる。

彼のスキャンにより、上記の国々の大規模かつ重要な組織において、脆弱なサーバが発見された。また、深刻な脆弱性公表から、1カ月以上経過した現在も、その全てにパッチが適用されていない状況だという。

Citrix Bleed の詳細

Citrix Bleed とは、Citrix NetScaler ADC/Gateway に影響を及ぼし、デバイスの機密情報へのアクセスを可能にする深刻な脆弱性として、10月10日に公表されている。

Mandiant の報告によると、この脆弱性 CVE-2023-4966 がゼロデイであった8月下旬に、脅威アクターたちは悪用を開始している。一連の攻撃では、HTTP GET リクエストを介して多要素認証段階 (MFA) をバイパスした攻撃者たちが、Netscaler AAA セッション・クッキーを取得しているという。

Citrix が管理者に対して警告したのは、この複雑性の低い脆弱性は、ノーインタラクション攻撃に悪用されやすいという内容だった。そして 10月25日に AssetNote が、セッション・トークン窃取を証明する PoC エクスプロイトを公開している。

最近の LockBit 攻撃において、いろんな意味で深刻だと思われるのは、ICBC と Boeing などで発生した被害です。そして、一連の攻撃では Citrix Bleed が悪用されているという説が、だんだんと確定しつつあるように思えます。考えたくないことですが、まだまだ被害が広がる可能性も否定できません。