Citrix-hack, kezdenek megjelenni a bizonyítékszerűségek
Tovább bonyolódik (tisztul?) a Citrix-ügy.
A Resecurity biztonsági cég állítása szerint még február 28-án értesítették a Citrix-et, hogy ellenük irányuló célzott támadás jeleit észlelték. Most megjelentették az első bizonyítékokat.
A Citrix március 6-án értesítette az ügyfeleket a támadással kapcsolatban (tehát az már biztos, hogy incidens következett be), bár a postban azt állítják, hogy őket az FBI értesítette a támadásról.
A Resecurity szerint a támadás az IRIDIUM nevű iráni csoport művelete volt, akik csaknem 200 korábbi, kormányzati szervet, olaj- és gázipari valamint technológiai céget érintő támadás elkövetéséért is felelősek.
A Resecurity állítja, a támadók a Citrix munkatársainak hozzáféréseit kompromittálva jutottak be a cég hálózatába és legalább 6TB (legfeljebb 10TB) adathoz (fájlok, levelezés, projekt adatok, stb.) fértek hozzá.
Erre vonatkozóan a Resecurity közzétett néhány screenshotot (érdekes kérdés, hogy honnan???), amelyekből (ha ezek valós proofok) következtetni lehet, hogyan juthattak a támadók a hálózatba, illetve miért állítja a Resecurity, hogy LEGALÁBB 6TB adathoz hozzáférhettek a támadók.
A 32 ezer Citrix felhasználó adataiban jelszó nem található, mivel ez a levelezőszerver központi címtárának (GAL) exportja lehetett feltehetően. A Resecurity password spray-jellegű támadásra tippel a jelszavakkal kapcsolatban, ha ez így van, a gyenge jelszavak állhatak a sikeres támadás hátterében.
A Resecurity ragaszkodik a legalább 6TB adathoz történő illetéktelen hozzáférés elméletéhez, nem csoda, végül is ezen a képen világosan látszik, hogy az adott meghajtó/share valóban 6TB adatot tartalmaz 🙂
És persze az adott meghajtó/share folderneveiből lehet következtetni az adott share tartalmára.
Szóval alighanem a Citrix-nek erre valamit mondania kell. A nyilatkozataikban feltűnően ignorálták a Resecurity eddigi megszólalásait, most szerintem megtörik a hallgatás.
Vagy nem.
- Resecurity frissítés elérhető itt
- A password spray támadásról itt olvashatsz
- A password spray elleni védekezésről itt olvashatsz
Forrás: