Comcast wachtte 13 dagen om zijn netwerk te patchen tegen een zeer ernstige kwetsbaarheid, een tijdspanne waardoor hackers er vandoor konden gaan met wachtwoordgegevens en andere gevoelige informatie van 36 miljoen Xfinity-klanten.
De inbreuk, die werd uitgevoerd door misbruik te maken van een kwetsbaarheid in netwerkhardware die door Citrix werd verkocht, gaf hackers toegang tot gebruikersnamen en cryptografisch gehashte wachtwoorden voor 35,9 miljoen Xfinity-klanten, zei de kabeltelevisie- en internetprovider in een kennisgeving Maandag ingediend bij het kantoor van de procureur-generaal van Maine. Citrix maakte de kwetsbaarheid bekend en bracht op 10 oktober een patch uit. Acht dagen later meldden onderzoekers dat de kwetsbaarheid, bijgehouden als CVE-2023-4966 en met de naam Citrix Bleed, onder de naam Citrix Bleed viel. actieve exploitatie sinds augustus. Comcast heeft zijn netwerk pas op 23 oktober gepatcht, 13 dagen nadat een patch beschikbaar kwam en vijf dagen na het rapport van de in-the-wild aanvallen die er misbruik van maakten.
“Vervolgens ontdekten we echter dat er voorafgaand aan de mitigatie, tussen 16 en 19 oktober 2023, ongeautoriseerde toegang was tot sommige van onze interne systemen, waarvan we concludeerden dat deze het gevolg was van deze kwetsbaarheid”, zegt een woordvoerder van het bedrijf. begeleidende mededeling verklaard. “We hebben de federale wetshandhaving op de hoogte gebracht en een onderzoek uitgevoerd naar de aard en omvang van het incident. Op 16 november 2023 werd vastgesteld dat er waarschijnlijk informatie was verkregen.”
Comcast onderzoekt nog welke gegevens de aanvallers precies hebben verkregen. Tot nu toe, aldus de onthulling van maandag, omvat de informatie waarvan bekend is dat deze is buitgemaakt gebruikersnamen en gehashte wachtwoorden, namen, contactgegevens, de laatste vier cijfers van burgerservicenummers, geboortedata en/of geheime vragen en antwoorden. Xfinity is de kabeltelevisie- en internetdivisie van Comcast.
Citrix Bleed is naar voren gekomen als een van de ernstigste en meest misbruikte kwetsbaarheden van het jaar, met een ernstscore van 9,4 op 10. De kwetsbaarheid, die zich bevindt in de NetScaler Utility Supply Controller en NetScaler Gateway van Citrix, kan worden misbruikt zonder enige authenticatie of privileges op de getroffen computer systems. netwerken. Exploits onthullen sessietokens, die de {hardware} toewijst aan apparaten die al met succes inloggegevens hebben verstrekt. Door het bezit van de tokens kunnen hackers elke gebruikte meervoudige authenticatie onderdrukken en inloggen op het apparaat.
Andere bedrijven die through Citrix Bleed zijn gehackt zijn onder meer Boeing; Toyota; DP World Australia, een filiaal van het in Dubai gevestigde logistieke bedrijf DP World; Industriële en commerciële financial institution van China; en advocatenkantoor Allen & Overy.
De naam Citrix Bleed is een toespeling op Heartbleed, een andere zero-day-versie van kritische informatie zette het web op zijn kop in 2014. Deze kwetsbaarheid, die zich in de OpenSSL-codebibliotheek bevond, werd massaal uitgebuit en maakte het stelen van wachtwoorden, coderingssleutels, bankgegevens en allerlei andere gevoelige informatie mogelijk. Citrix Bleed is niet zo nijpend geweest omdat er minder kwetsbare apparaten in gebruik zijn.
Uit een onderzoek van de meest actieve ransomware-sites kwam geen enkele declare naar voren over de verantwoordelijkheid voor de hack van het Comcast-netwerk. Een vertegenwoordiger van Xfinity zei in een e-mail dat het bedrijf nog geen losgeldverzoeken heeft ontvangen en dat onderzoekers zich niet bewust zijn van het lekken van klantgegevens of van aanvallen op getroffen klanten.
Comcast eist van Xfinity-klanten dat ze hun wachtwoord opnieuw instellen om zich te beschermen tegen de mogelijkheid dat aanvallers de gestolen hashes kunnen kraken. Het bedrijf moedigt klanten ook aan om tweefactorauthenticatie in te schakelen. De vertegenwoordiger weigerde te zeggen waarom bedrijfsbeheerders niet eerder een patch uitbrachten.