Xfinity ждала 13 дней, чтобы исправить критическую уязвимость Citrix Bleed 0-day. Теперь он расплачивается за это

Comcast ждала 13 дней, чтобы исправить свою сеть от серьезной уязвимости. Эта ошибка позволила хакерам украсть пароли и другую конфиденциальную информацию, принадлежащую 36 миллионам клиентов Xfinity.

Взлом, осуществленный путем использования уязвимости в сетевом оборудовании, продаваемом Citrix, предоставил хакерам доступ к именам пользователей и криптографически хешированным паролям 35,9 миллионов клиентов Xfinity, сообщил провайдер кабельного телевидения и Интернета в своем сообщении. уведомление подал в понедельник в прокуратуру штата Мэн. Citrix раскрыла уязвимость и выпустила исправление 10 октября. Восемь дней спустя исследователи сообщили, что уязвимость, отслеживаемая как CVE-2023-4966 и получившая название Citrix Bleed, находилась под активная эксплуатация с августа. Comcast не обновляла свою сеть до 23 октября, через 13 дней после того, как патч стал доступен, и через пять дней после сообщения о реальных атаках с его использованием.

«Однако впоследствии мы обнаружили, что до принятия мер по устранению последствий, в период с 16 по 19 октября 2023 года, имелся несанкционированный доступ к некоторым из наших внутренних систем, что, как мы пришли к выводу, было результатом этой уязвимости», — говорится в сообщении. сопроводительное уведомление заявил. «Мы уведомили федеральные правоохранительные органы и провели расследование характера и масштабов инцидента. 16 ноября 2023 года было установлено, что информация, скорее всего, была получена».

Comcast все еще выясняет, какие именно данные получили злоумышленники. На данный момент, как сообщается в понедельник, информация, о которой известно, что она была получена, включает имена пользователей и хешированные пароли, имена, контактную информацию, последние четыре цифры номеров социального страхования, даты рождения и/или секретные вопросы и ответы. Xfinity — подразделение кабельного телевидения и Интернета Comcast.

Citrix Bleed стала одной из самых серьезных и широко используемых уязвимостей года с рейтингом серьезности 9,4 из 10. Уязвимость, присутствующая в контроллере доставки приложений Citrix NetScaler и шлюзе NetScaler, может быть использована без какой-либо аутентификации или привилегий на затронутых устройствах. сети. Эксплойты раскрывают токены сеанса, которые оборудование назначает устройствам, которые уже успешно предоставили учетные данные для входа. Владение токенами позволяет хакерам обойти любую используемую многофакторную аутентификацию и войти в устройство.

Другие компании, которые были взломаны через Citrix Bleed, включают Boeing; Тойота; DP World Australia, филиал дубайской логистической компании DP World; Промышленный и Коммерческий Банк Китая; и юридическая фирма Allen & Overy.

Название Citrix Bleed является отсылкой к Heartbleed, другой системе раскрытия критической информации нулевого дня, которая перевернул Интернет с ног на голову в 2014 году. Эта уязвимость, находившаяся в библиотеке кода OpenSSL, стала объектом массовой эксплуатации и позволила украсть пароли, ключи шифрования, банковские учетные данные и все виды другой конфиденциальной информации. Citrix Bleed оказался не таким страшным, поскольку используется меньше уязвимых устройств.

Проверка наиболее активных сайтов-вымогателей не выявила никаких обвинений в взломе сети Comcast. Представитель Xfinity сообщил в электронном письме, что компания еще не получила каких-либо требований о выкупе, а следователям неизвестно ни об утечке данных клиентов, ни о каких-либо атаках на пострадавших клиентов.

Comcast требует от клиентов Xfinity сбросить свои пароли, чтобы защититься от возможности взлома украденных хешей злоумышленниками. Компания также призывает клиентов включить двухфакторную аутентификацию. Представитель отказался объяснить, почему администраторы компании не установили патч раньше.