Citrix تم تصحيح ثغرة الأمان المتسربة والتي تبقى مستمرة

الأخبار السيبرانية تتكون من قصص أكثر رعبًا وقلقًا من السابق، وهو موضوع مناسب لنهاية أكتوبر. Citrix Bleed ليست استثناءً. بعد ثغرة سابقة وتصحيح في بداية الصيف، كانت Citrix تجعل عناوين الأخبار في معظم هذا الخريف بأخبار عن تقدم في شبكات الشركات الكبيرة والحكومية. إليك كيف تسبب ثغرة Citrix Bleed CVE-2023-4966 ليالي بدون نوم في بعض الأوساط، مع التوصيات الناتجة وحلولنا الخاصة والحماية لحماية بنية البنية التحتية البعيدة الخاصة بك ضد مثل هذه الأخطار. الأخبار ليست كلها سيئة.

Citrix NetScaler ADC و NetScaler Gateway تحت النار

Citrix Bleed ، عيب حرج في كشف المعلومات يؤثر على NetScaler ADC و NetScaler Gateway ، تحت "استغلال جماعي" ، مع آلاف من خوادم Citrix الضعيفة لا تزال على الإنترنت على الرغم من إصدار تصحيح في 10 أكتوبر. منذ ذلك الحين ، تذكرنا موجات منتظمة من الأخبار بأن الثغرة لا تزال تسمح للمهاجمين بالوصول إلى ذاكرة الأجهزة المعرضة. هناك ، تستخرج الهجمات رموز الجلسة للوصول غير المصرح به ، حتى بعد تطبيق التصحيح.

تستغل عصابات الفدية هذه الثغرة وتتتبع Mandiant مجموعات متعددة تستهدف قطاعات مختلفة على مستوى العالم. حكومة الولايات المتحدة قد صنفتها كثغرة مستغلة غير معروفة. تؤكد Mandiant التابعة لجوجل على ضرورة إنهاء جميع الجلسات النشطة للحد من الآثار. تم استغلال الخلل منذ نهاية أغسطس، حيث استخدمه المجرمون للتجسس الإلكتروني. من المتوقع أن يستغل مهاجمون تهديدات مالية، لذا من الأهمية بمكان وقف Citrix Bleed قبل فوات الأوان.

CVE-2023-4966 الثغرة مستمرة على الرغم من التصحيح

يبدو أنه، اعتبارًا من 30 أكتوبر، ترك أكثر من 5,000 خادم ضعيف عرضة على الإنترنت العام. لاحظت GreyNoise 137 عنوان IP فردي يحاولون استغلال هذه الثغرة في Citrix خلال الأسبوع الماضي. على الرغم من الكشف السريع من قبل Citrix وإصدار تصحيح (CVE-2023-4966) في 10 أكتوبر، ازدادت الحالة سريعًا. حتى بعد تطبيق التصحيح، استمرت رموز الجلسة، مما يجعل الأنظمة عرضة للاستغلال. يتم التأكيد على خطورة الوضع من خلال حقيقة أن فرق الفدية للبرمجيات الخبيثة قد استغلوا هذه الثغرة، ويوزعون نصوص Python لتأتي بشكل تلقائي على سلسلة الهجوم.

أدوات وخطوات مدروسة استراتيجيًا للهجمات

هذه الهجمات ارتدت طابعًا متعدد الجوانب مع تقدمها ما وراء استغلالها الأولي. يبدو أن المهاجمين كانوا مشغولين في البداية باستطلاع الشبكة. ومع ذلك، فقد تم توسيع الأهداف بوضوح لسرقة بيانات اعتماد الحسابات الحرجة وإظهار حركة جانبية من خلال الشبكات المخترقة. في هذه المرحلة، استخدموا مجموعة متنوعة من الأدوات، مما يدل على نهج مدروس بشكل جيد لأنشطتهم الخبيثة.

تظهر أولئك الذين يقفون وراء هذه الحملات مستوى عالٍ من التطور في نهجهم، حيث يستخدمون مجموعة واسعة من الأدوات والتقنيات لتحقيق أهدافهم. استخدم المهاجمون طلبات HTTP GET مصممة خصيصًا لإجبار جهاز Citrix على كشف محتويات ذاكرة النظام، بما في ذلك ملفات تعريف الجلسة AAA الصالحة لـ Netscaler. وقد سمح لهم ذلك بتجاوز المصادقة متعددة العوامل، مما جعل اختراقهم أكثر خبثًا.

ابحث عن تركيبة أدوات محددة

واحدة من الأدوات الملحوظة في ترسانتهم هي FREEFIRE، وهو برنامج خلفي جديد خفيف يستخدم Slack للتحكم والسيطرة. هذه هي الأداة الغير عادية الوحيدة في الترسانة. استخدمت الهجمات العديد من العمليات القياسية والأصلية، بالإضافة إلى الوصول عن بعد وأدوات إدارة المكتب البعيد المعتادة Atera، AnyDesk وSplashTop. يظهر هذا كيف عمل القراصنة بجد للبقاء غير مرئيين للاكتشاف. في الواقع، بينما توجد هذه الأدوات عادة في بيئات الشركات الشرعية بشكل فردي، إلا أن استخدامها معًا من قبل الجهات الفاعلة في التهديد يعتبر علامة حمراء هامة. مالم يكن برنامج الأمان الخاص بك وفريقك يبحثون عن هذا التوازي الدال على تعرض، فإنه سيمر دون أن يلاحظ.

ها هو قائمة الأدوات التي كان يستخدمها القراصنة لاسترداد معلومات الجلسة والتحرك أفقيًا عبر الشبكات (بالإضافة إلى أغراضهم كما وصفتها Bleeping Computer):

• net.exe - استطلاع Active Directory (AD);
• netscan.exe - تعداد الشبكة الداخلية;
• 7-zip - إنشاء أرشيف مشفر مقسم لضغط بيانات الاستطلاع.
• certutil - تشفير (base64) وفك تشفير ملفات البيانات ونشر البوابات الخلفية;
• e.exe و d.dll - تحميل في ذاكرة عملية LSASS وإنشاء ملفات تفريغ الذاكرة;
• sh3.exe - تشغيل أمر Mimikatz LSADUMP لاستخراج الاعتمادات;
• FREEFIRE - برنامج خلفية .NET خفيف الوزن جديد باستخدام Slack للتحكم والسيطرة;
• Atera - المراقبة والإدارة عن بُعد;
• AnyDesk - سطح المكتب عن بُعد;
• SplashTop - سطح المكتب عن بُعد.

كما ربما توافق، ليس هناك الكثير من الأمور الغير مألوفة ما لم تجد كلها مجتمعة. باستثناء واحدة، وهي: FREEFIRE.

FREEFIRE بشكل خاص يستخدمها القراصنة في Citrix Bleed

يجدر بالذكر أن بعض هذه الأدوات توجد عادة في بيئات الشركات، ولكن استخدامها المشترك في هذه الحملات يعد مؤشرًا قويًا على اختراق. حتى أصدرت Mandiant قاعدة Yara تستخدم لاكتشاف وجود FREEFIRE على جهاز. هذه الأداة قيمة بشكل خاص في مساعدة المؤسسات على تحديد الأنظمة المخترقة بشكل استباقي واتخاذ إجراءات سريعة للتقليل من المخاطر.

يمكنك العثور أدناه على قاعدة Yara لاكتشاف FREEFIRE. ومع ذلك، إذا كنت ترغب في التحقق من قاعدة Yara هناك أو قراءة تقنيات MITRE ATT&CK، فإن هذه تغلق مقال Mandiant. هناك، يمكنك أيضًا العثور على رابطهم إلى دليل "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" من Mandiant في شكل PDF.

قواعد Yara لشركة Mandiant لاستهداف FREEFIRE في سياق Citrix Bleed

والقاعدة كنص

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ??
?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

بعض التذكيرات لصد الضعف في ثغرة Citrix NetScaler CVE-2023-4966

تسليط الضوء على تقارب هذه النتائج يبرز الحاجة الملحة للمؤسسات لاعتماد نهج شامل للاستجابة للحوادث. تطبيق التحديثات الأمنية المتاحة ببساطة غير كافٍ في معالجة الانتهاكات الحالية. الحقيقة أنه من الضروري إغلاق جميع الجلسات النشطة حتى لا تبقى قابلة للاستغلال لا يمكن ببساطة تحتيتها بشكل كافٍ. الاستجابة الكاملة ضرورية لاحتواء الانتهاك، وتقييم مدى التنازل، وحيثما كان ذلك ضروريًا، بدء الخطوات المطلوبة لاستعادة النظام.

دليل إصلاح Mandiant ومنشورات أخرى تقدم خطوات عملية أساسية للمؤسسات التي تتنقل في هذه السيناريوهات الصعبة بعد الاستغلال. تقوم المؤسسات الحكومية على مستوى العالم بنقل هذه التوصيات والتحذيرات وعمليات الحماية في محاولة لوقف هذه الهجمات.

TSplus Advanced Security - أفضل حماية ضد Citrix Bleed وهجمات أخرى

نحن مقتنعون بحماية السيبرانية 360° الخاصة بنا, TSplus الأمان المتقدم TSplus Advanced Security تعتبر غير مسبوقة لحماية عملك وبنية تكنولوجيا المعلومات ضد هذا التهديد وغيره. في الواقع، الثغرات مثل استغلال Citrix Bleed تشير إلى عدم كفاية الأمان السيبراني في العديد من السياقات والبنى التحتية. لذلك، يجب على الشركات إعطاء الأولوية لحلول شاملة لحماية بنية تكنولوجيا المعلومات والبيانات الحساسة الخاصة بهم. TSplus Advanced Security تعتبر إجابة قوية وشاملة على هذه المخاوف الملحة.

هذه الأداة الأمنية الشاملة تقدم نهجًا متعدد الجوانب لضمان حماية أنظمة تكنولوجيا المعلومات، محافظة على النظام ضد مجموعة واسعة من التهديدات، بما في ذلك استغلال الثغرات في اليوم الصفر، البرامج الضارة والوصول غير المصرح به.

TSplus الأمان المتقدم كجزء من حزمة برامج البعد البعيد الشاملة

واحد من الفوائد الرئيسية ل TSplus الأمان المتقدم يكمن قوته في تعزيز بنية تحتية لتكنولوجيا المعلومات في منظمتك ضد الثغرات مثل CVE-2023-4966، التي تترك تأثيرًا واسع النطاق. يمكنه للشركات تأمين أنظمتها من خلال منع الوصول غير المصرح به والتصدي بفعالية لتهديدات الأمن السيبراني.

بالإضافة إلى ذلك، تقدم مجموعة برامج TSplus الأوسع ميزات لا تقدر بثمن تكمل TSplus Advanced Security. بالمثل للنقاط الأربعة الرئيسية، لدينا أربعة أركان لشبكة عن بعد: الأمان، الوصول، المراقبة والدعم.

TSplus الوصول عن بعد لتسجيل الخروج من الجلسة والإدارة الدقيقة

أولا TSplus الوصول عن بُعد , وبالتالي، يتضمن معلمات تسجيل الخروج من الجلسة التي تعزز الأمان عن طريق ضمان إنهاء جلسات المستخدم بشكل صحيح. الأهم من ذلك، يقلل هذا من مخاطر الوصول غير المصرح به. هذه الميزة حيوية في معالجة المشاكل المترابطة مثل تلك التي تسببها استغلالات حادثة Citrix Bleed. من خلال ضمان عدم استمرار رموز الجلسة، حتى بعد التصحيح، يوفر طبقة إضافية من الحماية.

مراقبة خادم TSplus لمراقبة الخادم وجلسات المستخدم.

بالإضافة إلى ذلك مراقبة خادم TSplus هو أداة لا غنى عنها للمؤسسات. في الواقع، يتيح لك مراقبة صحة خوادمهم ومواقع الويب الخاصة بهم في الوقت الحقيقي. في سياق Citrix Bleed أو الثغرات المماثلة، يسمح مراقبة الخادم بالتعرف السريع على المشاكل، مما يجعل من السهل بدوره بدء عمليات الإصلاح والتصحيح في الوقت المناسب. هذا النهج الاستباقي ضروري للحفاظ على سلامة أنظمة تكنولوجيا المعلومات ومنع الانتهاكات.

TSplus الدعم عن بُعد للتحكم، الإصلاح والتدريب

أخيرًا TSplus دعم عن بُعد يلعب دورًا حاسمًا في مواجهة تحديات الأمان السيبراني. إنه يسهل المساعدة عن بُعد والتدخل غير المراقب لأي مشكلة تقنية، مما يضمن حلًا سريعًا وتقليل المخاطر المرتبطة بالثغرات المستمرة. سواء كانت مشكلة تقنية في Citrix أو مواجهة أي قلق تقني آخر، يمكن لدعم TSplus عن بُعد تمكين المؤسسات من الاستجابة بسرعة وبفعالية وبشكل آمن، من أي مكان.

كختام لثغرة Citrix Bleed CVE-2023-4966 تبقى رغم تصحيحها.

باختصار، TSplus Advanced Security هو أداة رائعة ضد مثل هذه الثغرات. و، بالاقتران مع بقية حزمة البرامج، يشكل خط دفاع قوي ضد تهديدات الأمن السيبراني من جميع الأنواع بالإضافة إلى تقديم إدارة دقيقة، ومراقبة في الوقت الحقيقي، وقدرات الاستجابة السريعة. ما الذي يمكن أن تطلبه أكثر لتأمين بنية تحتية تكنولوجيا المعلومات الخاصة بك وحماية بيانات الشركة الحساسة.

سواء كنت ترغب في حماية بنية الشبكة الخاصة بشركتك ضد الهجمات الإلكترونية أو ترغب في استبدال Citrix بالكامل، تواصل معنا اليوم عبر الهاتف، البريد الإلكتروني أو عبر موقعنا على الإنترنت واحصل على عرض الأسعار أو التجربة الخاصة بك في ثوانٍ أو بضع نقرات.