LockBit 3.0 ランサムウェア攻撃検出: CVE 2023-4966 Citrix Bleed脆弱性の悪用による防御者への警告をCISA、FBI、国際サイバー当局が発表

Citrix NetScaler ADCとゲートウェイ製品に影響を与える重要な脆弱性は CVE-2023-4966 として追跡され、そのパッチが2023年10月に適用されたにもかかわらず、現実の攻撃で積極的に悪用されています。 LockBit 3.0ランサムウェア の攻撃は、この欠陥を武器化したもので、Citrix Bleed脆弱性として知られ、CISAおよびFBIは、他の国際当局と協力して、サイバーセキュリティに関する意識を高め、組織がリスクを軽減できるように合同アドバイザリを最近リリースしました。

CVE-2023-4966を悪用するLockBit 3.0ランサムウェア攻撃を検出

人気のあるソフトウェア製品の脆弱性は常に攻撃者にとって魅力的なターゲットであり、攻撃対象の組織のリストを拡大し、成功する感染のためにセキュリティ対策を乗り越えることを可能にしています。最新の脆弱性であるCitrix NetScaler ADCとGateway（CVE-2023-4966）は、LockBit 3.0ランサムウェアのメンテナが悪意のあるツールセットに迅速に追加し、被害者の数と経済的利益の増加を図っています。

サイバー防御者が開発の最初期段階で潜在的な攻撃を識別できるよう支援するために、SOC Primeの集合的サイバー防御プラットフォームは、キュレーションされた検出ルールのセットを集約しています。すべての検出は28のSIEM、EDR、XDR、およびデータレイクソリューションと互換性があり、それがあなたのセキュリティスタックに適合し、脅威の調査を円滑化するためにMITRE ATT＆CKフレームワークにマップされています。さらに、各検出ルールは、詳細なメタデータ、CTI＆ATT＆CKリンク、トリアージ推奨事項、その他の関連する詳細で強化されています。

下の 検出を探索 ボタンをクリックして、専用の検出ルールセットに掘り下げてください。

検出を探索

さらに、進歩的な組織は、ロックビットランサムウェアの検出を目的とした包括的な ルールコレクションを詳しく調べることができ 継続的にサイバーの強靭性を強化することができます。

サイバー防御者はまた、ファイル、ホスト、およびネットワークのための CISAによって提供されるIOC を使用して、IOCパッケージングをサポートするSOC Primeの高度な検出エンジニアリングIDEを活用してハントすることができます。 Uncoder AI を試してみて、自動的にパフォーマンス最適化された検索クエリを作成し、それらをSIEMまたはEDR環境で即座に実行し、脅威調査の時間を短縮してください。

Citrix Bleed脆弱性を悪用するLockBit 3.0ランサムウェア攻撃：分析と緩和策

2023年11月21日、CISAとFBIを含む米国および世界のサイバーセキュリティ機関は、 新しい合同警報AA23-325Aを発行し、CVE-2023-4966エクスプロイトを武器化しているLockBit 3.0ランサムウェア攻撃に関連するリスクの増大について防御者に通知しました。 CVE 2023-4966エクスプロイト.

2022年6月に、 LockBit グループは、新しい対抗者ツールと悪意のあるサンプルを使用した巧みな実験で悪名高いもので、サイバー脅威のアリーナに再び登場し、LockBit 3.0と呼ばれるランサムウェアの高度なイテレーションを導入しました。敵対者は最新のランサムウェアバージョンに新しい恐喝戦術を加え、Zcashでの支払い機能を追加しました。

共同サイバーセキュリティアドバイザリ（CSA）によれば、Boeingは、LockBit 3.0ランサムウェアのアフィリエイトがCVE-2023-4966を悪用してBoeing Distribution Inc.への初期アクセスを得たインスタンスを初めて検出しました。さらに、他の信頼できる第三者は、組織のインフラストラクチャを侵入のリスクにさらす類似の悪意のある活動を観察しました。

Citrix Bleedとして知られるCVE-2023-4966は、攻撃者がパスワード要件や多要素認証を回避することを可能にし、Citrix NetScaler ADCとゲートウェイ装置上で正当なユーザーセッションを乗っ取ることに成功します。その結果、攻撃者は特権を高めることができ、認証情報の窃盗、横移動、および重要データへのアクセスを可能にします。

防御者は合同CSAで発行されたCVE-2023-4966の緩和策を採用することを強く推奨しており、パッチの準備と展開が可能になるまでテストのためにNetScaler ADCとゲートウェイインスタンスを隔離し、RDPやその他のリモートデスクトップツールの使用を制限することを含んでいます。
PowerShellの使用制限を課し、必要なソフトウェアアップデートを Citrixナレッジセンター.

を介して適用します。Citrix Bleedは、CISAおよび作成者である組織が予測するように、現実の攻撃でさらに利用され、未修正のソフトウェアサービスにおいて、プライベートおよびパブリックネットワーク上で悪用される可能性が極めて高いです。常に変化する脅威の状況を把握するために、組織は増大するCVEトレンドに対応する 拡張ルールセットにアクセスして CTIおよび実行可能なメタデータで強化されたルールを獲得することができます。