據BleepingComputer 11月14日消息，Lockbit 勒索軟件正利用 Citrix Bleed已公開的漏洞 (CVE-2023-4966) 來破壞大型企業系統、竊取數據并加密文件。該組織近來因陸續攻擊勒索波音、中國工商銀行等知名企業而再度引發世人關注。

威脅研究員 Kevin Beaumont 一直在追蹤針對中國工商銀行、  DP World、Allen & Overy 和波音等多家公司的攻擊，發現了其中的一些共同點。這些暴露的 Citrix 服務器容易受到 Citrix Bleed 漏洞的影響。

《華爾街日報》進一步證實了這一點，該報獲得了美國財政部發給特定金融服務提供商的一封電子郵件，其中提到 LockBit 對中國工商銀行的網絡攻擊負有責任，該攻擊是通過利用 Citrix Bleed 缺陷實現。

根據日本威脅研究人員Yutaka Sejiyama與 BleepingComputer 分享的調查結果，截至撰寫本文時，超過 10400 臺 Citrix 服務器容易受到 CVE-2023-4966 漏洞的攻擊。這些服務器中大多數位于美國，達3133 臺。

Sejiyama 的掃描顯示了上述大型關鍵組織中存在易受攻擊的服務器，所有這些服務器在公開披露該關鍵缺陷后整整一個月都沒有進行修補。

Citrix Bleed 于 10 月 10 日首次披露了該漏洞，影響 Citrix NetScaler ADC 和網關，從而允許訪問敏感設備信息，并建議相關企業及時升級至已實施安全更新的修復版本。

Mandiant 報告稱，攻擊者 于 8 月下旬開始利用 Citrix Bleed，當時該安全漏洞仍為零日漏洞。在攻擊中，黑客在多重身份驗證階段（MFA）后使用 HTTP GET 請求來獲取 Netscaler AAA 會話 cookie。

Citrix 敦促管理員保護系統免受這種低復雜性、無交互的攻擊。10 月 25 日，外部攻擊面管理公司 AssetNote 發布了一個概念驗證漏洞， 演示了如何竊取會話令牌。