A Comcast esperou até nove dias para corrigir sua rede contra uma vulnerabilidade de alta gravidade, um lapso que permitiu que hackers roubassem dados de senhas e outras informações confidenciais pertencentes a 36 milhões de clientes do Xfinity.
A violação, que foi realizada explorando uma vulnerabilidade no hardware de rede vendido pela Citrix, deu aos hackers acesso a nomes de usuário e senhas com hash criptográfico para 35,9 milhões de clientes Xfinity, disse o provedor de TV a cabo e Internet em um comunicado. notificação arquivado na segunda-feira no gabinete do procurador-geral do Maine. A Citrix divulgou a vulnerabilidade e lançou um patch em 10 de outubro. A Comcast não corrigiu sua rede até 16 de outubro, no mínimo, e 19 de outubro, no máximo, um lapso de seis a nove dias. Em 18 de outubro, pesquisadores relataram que a vulnerabilidade, rastreada como CVE-2023-4966 e chamada Citrix Bleed, estava sob exploração ativa desde agosto.
“No entanto, descobrimos posteriormente que antes da mitigação, entre 16 e 19 de outubro de 2023, houve acesso não autorizado a alguns de nossos sistemas internos que concluímos ser resultado desta vulnerabilidade”, um aviso de acompanhamento afirmou. “Notificamos as autoridades federais e conduzimos uma investigação sobre a natureza e o escopo do incidente. Em 16 de novembro de 2023, foi determinado que a informação provavelmente foi adquirida.”
A Comcast ainda está investigando precisamente quais dados os invasores obtiveram. Até agora, segundo a divulgação de segunda-feira, as informações que se sabe terem sido coletadas incluem nomes de usuário e senhas com hash, nomes, informações de contato, os últimos quatro dígitos dos números de previdência social, datas de nascimento e/ou perguntas e respostas secretas. Xfinity é a divisão de televisão a cabo e Internet da Comcast.
Citrix Bleed emergiu como uma das vulnerabilidades mais graves e amplamente exploradas do ano, com uma classificação de gravidade de 9,4 em 10. A vulnerabilidade, residente no NetScaler Application Delivery Controller e NetScaler Gateway da Citrix, pode ser explorada sem qualquer autenticação ou privilégios nos afetados. redes. As explorações divulgam tokens de sessão, que o hardware atribui a dispositivos que já forneceram credenciais de login com êxito. A posse dos tokens permite que os hackers substituam qualquer autenticação multifator em uso e façam login no dispositivo.
Outras empresas que foram hackeadas pelo Citrix Bleed incluem Boeing; Toyota; DP World Australia, uma filial da empresa de logística DP World, com sede em Dubai; Banco Industrial e Comercial da China; e o escritório de advocacia Allen & Overy.
O nome Citrix Bleed é uma alusão ao Heartbleed, um diferente dia zero de divulgação de informações críticas que virou a Internet de cabeça para baixo em 2014. Essa vulnerabilidade, que residia na biblioteca de códigos OpenSSL, foi explorada em massa e permitiu o furto de senhas, chaves de criptografia, credenciais bancárias e todos os tipos de outras informações confidenciais. O Citrix Bleed não foi tão terrível porque menos dispositivos vulneráveis estão em uso.
Uma varredura nos sites de ransomware mais ativos não revelou nenhuma reivindicação de responsabilidade pelo hack da rede Comcast. Um representante da Xfinity disse por e-mail que a empresa ainda não recebeu nenhum pedido de resgate e os investigadores não têm conhecimento de vazamento de dados de clientes ou de ataques aos clientes afetados.
A Comcast está exigindo que os clientes do Xfinity redefinam suas senhas para se protegerem contra a possibilidade de invasores quebrarem os hashes roubados. A empresa também está incentivando os clientes a habilitar a autenticação de dois fatores. O representante se recusou a dizer por que os administradores da empresa não corrigiram antes.
Postagem atualizada para alterar o lapso do patch de 13 dias para seis a nove dias.