4 godzin temu
Nowe analizy wskazują, iż powiązani z Chinami hakerzy instalowali tylne furtki (backdoory) w systemach Citrix Netscaler na długo przed publicznym ujawnieniem luki. Rośnie krytyka wobec producenta, któremu zarzuca się nietransparentne działania i minimalizowanie skali zagrożenia.
Systemy Citrix Netscaler, najważniejszy element infrastruktury sieciowej wielu firm, od maja tego roku znajdowały się na celowniku zaawansowanej grupy hakerskiej.
Według analiz specjalisty ds. bezpieczeństwa, Kevina Beaumonta, atakujący wykorzystywali nieznaną wcześniej lukę typu zero-day w komponencie uwierzytelniającym, aby uzyskać dostęp do sieci korporacyjnych i zainstalować w nich niestandardowe oprogramowanie szpiegujące.
Sposób działania, skupiony na długoterminowym, dyskretnym dostępie bez śladów aktywności finansowej, takiej jak ransomware, silnie wskazuje na kampanię cyberszpiegowską.
Techniki te wykazują podobieństwo do tych stosowanych przez grupę Volt Typhoon, wiązaną z chińskim rządem.
Na firmę Citrix spada fala krytyki w związku z jej reakcją na incydent. Beaumont zarzuca producentowi celowe wyciszanie sprawy. najważniejsze informacje, w tym skrypty pozwalające wykryć włamanie, miały być udostępniane klientom jedynie na podstawie umów o poufności.
Taka polityka utrudniła administratorom i specjalistom ds. bezpieczeństwa ocenę rzeczywistej skali ryzyka i podjęcie adekwatnych działań. Co istotne, backdoory były instalowane w okresie, gdy oficjalna łatka nie była jeszcze dostępna.
Chociaż Citrix ostatecznie wydał odpowiednie aktualizacje, dla wielu organizacji szkody już się dokonały. Eksperci ds. cyberbezpieczeństwa, nawiązując do poważnego incydentu z 2023 roku, określają obecną sytuację mianem “Citrix Bleed 2”.
Podkreślają, iż samo zainstalowanie łatki nie rozwiązuje problemu w systemach, które już zostały skompromitowane. Tylne furtki pozostawione przez hakerów nie są usuwane przez prostą aktualizację i wymagają dogłębnego śledztwa oraz oczyszczenia systemu.
Tysiące serwerów w Europie wciąż pozostaje podatnych na atak.
Firmom, które nie zaktualizowały swoich urządzeń, zaleca się nie tylko natychmiastowe wdrożenie poprawek, ale również proaktywne skanowanie infrastruktury w poszukiwaniu śladów włamania.
