LockBit 勒索软件利用 Citrix Bleed 进行攻击，10K 服务器暴露

据BleepingComputer 11月14日消息 ，索软Lockbit 勒索软件正利用 Citrix Bleed已公开的利进行漏洞 (CVE-2023-4966) 来破坏大型企业系统
、窃取数据并加密文件 。攻击该组织近来因陆续攻击勒索波音
、暴露中国工商银行等知名企业而再度引发世人关注 。索软

威胁研究员 Kevin Beaumont 一直在追踪针对中国工商银行、利进行  DP World、攻击Allen & Overy 和波音等多家公司的模板下载暴露攻击，发现了其中的索软一些共同点。这些暴露的利进行 Citrix 服务器容易受到 Citrix Bleed 漏洞的影响。

《华尔街日报》进一步证实了这一点，攻击该报获得了美国财政部发给特定金融服务提供商的亿华云暴露一封电子邮件，其中提到 LockBit 对中国工商银行的索软网络攻击负有责任
，该攻击是利进行通过利用 Citrix Bleed 缺陷实现。

根据日本威胁研究人员Yutaka Sejiyama与 BleepingComputer 分享的攻击调查结果，截至撰写本文时 ，香港云服务器超过 10400 台 Citrix 服务器容易受到 CVE-2023-4966 漏洞的攻击。这些服务器中大多数位于美国，达3133 台 。

Sejiyama 的扫描显示了上述大型关键组织中存在易受攻击的服务器，所有这些服务器在公开披露该关键缺陷后整整一个月都没有进行修补。免费模板

Citrix Bleed 于 10 月 10 日首次披露了该漏洞 ，影响 Citrix NetScaler ADC 和网关，从而允许访问敏感设备信息 ，并建议相关企业及时升级至已实施安全更新的修复版本。

Mandiant 报告称，攻击者 于 8 月下旬开始利用 Citrix Bleed，当时该安全漏洞仍为零日漏洞 。云计算在攻击中，黑客在多重身份验证阶段（MFA）后使用 HTTP GET 请求来获取 Netscaler AAA 会话 cookie。

Citrix 敦促管理员保护系统免受这种低复杂性、无交互的攻击 。10 月 25 日，外部攻击面管理公司 AssetNote 发布了一个概念验证漏洞， 演示了如何窃取会话令牌。源码库