We've detected you might be speaking a different language. Do you want to change to:

Taula de continguts

Les notícies cibernètiques estan fetes d'històries cada vegada més espantoses i preocupants que les anteriors, un tema adequat per al final d'octubre. Citrix Bleed no és una excepció. Després d'una vulnerabilitat i correcció anterior a l'estiu, Citrix ha estat protagonista la major part d'aquesta tardor amb notícies d'incursions en xarxes corporatives i governamentals grans. Així és com la vulnerabilitat Citrix Bleed CVE-2023-4966 està causant nits sense dormir en alguns àmbits, amb recomanacions i les nostres pròpies solucions i protecció per protegir la vostra infraestructura remota contra aquests perills. Les notícies no són totes negatives.

Citrix NetScaler ADC i NetScaler Gateway sota foc

Citrix Bleed, un error crític de divulgació d'informació que afecta NetScaler ADC i NetScaler Gateway, ha estat sota "explotació massiva", amb milers de servidors Citrix vulnerables encara en línia malgrat la publicació d'una correcció el 10 d'octubre. Des de llavors, ones regulars de notícies ens han recordat que la vulnerabilitat encara permet als atacants accedir a la memòria dels dispositius exposats. Allà, els atacs extreuen els tokens de sessió per a l'accés no autoritzat, fins i tot un cop s'ha aplicat la correcció.

Les bandes de ransomware han estat explotant aquesta vulnerabilitat i Mandiant està rastrejant diversos grups que ataquen diversos sectors a nivell mundial. El govern dels Estats Units l'ha classificat com una vulnerabilitat explotada desconeguda. Mandiant, propietat de Google, destaca la necessitat de tancar totes les sessions actives per a una mitigació efectiva. La fallada ha estat explotada des de finals d'agost, amb criminals utilitzant-la per a l'espionatge cibernètic. S'espera que actors de amenaces financeres l'explotin, per tant, és encara més important aturar el Citrix Bleed abans que sigui massa tard.

CVE-2023-4966 Vulnerabilitat en curs malgrat la correcció

Sembla que, a partir del 30 d'octubre, hi havia més de 5.000 servidors vulnerables exposats a internet públic. GreyNoise va observar 137 adreces IP individuals intentant explotar aquesta vulnerabilitat de Citrix durant la última setmana. Malgrat la divulgació ràpida de Citrix i l'emetent d'una correcció (CVE-2023-4966) el 10 d'octubre, la situació va escalant ràpidament. Inclús després d'aplicar la correcció, els tokens de sessió van persistir, deixant els sistemes vulnerables a l'explotació. La gravetat de la situació es destaca pel fet que, com es temia, els grups de ransomware han aprofitat l'oportunitat per explotar aquesta vulnerabilitat, distribuint scripts de python per automatitzar la cadena d'atacs.

Eines i passos estratègicament pensats per als atacs

Aquests atacs han adoptat una naturalesa multifacètica a mesura que han avançat més enllà de l'explotació inicial. Els atacants semblaven inicialment dedicats a la recerca de xarxa. No obstant això, els objectius s'han ampliat evidentment al robatori de credencials de compte crítiques i han mostrat moviments laterals a través de les xarxes compromeses. En aquesta fase, van utilitzar un conjunt divers d'eines, demostrant un enfocament ben orquestrat a les seves activitats malicioses.

Els responsables d'aquestes campanyes han demostrat un alt nivell de sofisticació en el seu enfocament, utilitzant una àmplia gamma d'eines i tècniques per assolir els seus objectius. Els atacants van utilitzar sol·licituds HTTP GET especialment elaborades per forçar l'aplicació Citrix a revelar el contingut de la memòria del sistema, incloses les galetes de sessió AAA de Netscaler vàlides. Això els ha permès evitar l'autenticació multifactorial, fent que la seva intrusió sigui encara més insidiosa.

Estigueu atents a la combinació d'eines específiques.

Una eina notable al seu arsenal és FREEFIRE, un nou backdoor lleuger de .NET que utilitza Slack per al comandament i control. Aquesta és l'eina inusual única a l'arsenal. Els atacs van aprofitar molts processos estàndard i natius, amb l'addició de l'accés i les eines de gestió de l'escriptori remot habituals Atera, AnyDesk i SplashTop. Això demostra com els hackers han treballat dur per romandre invisibles a la detecció. De fet, mentre que individualment, aquestes eines es troben generalment en entorns empresarials legítims, només la seva implementació combinada pels actors de la amença serveix com a un senyal d'alerta significatiu. A menys que el seu programari de seguretat i l'equip estiguin alerta a aquesta combinació indicativa d'una compromissió, passaria desapercebuda.

Aquí teniu la llista d'eines que els hackers han estat utilitzant per recuperar informació de sessió i moure's horitzontalment a través de xarxes (així com els seus propòsits segons Bleeping Computer):

  • net.exe – Reconeixement de l'Active Directory (AD);
  • netscan.exe - enumeració de xarxa interna;
  • 7-zip - crear un arxiu segmentat xifrat per comprimir les dades de reconeixement;
  • certutil - codificar (base64) i descodificar fitxers de dades i desplegar portes darrere;
  • e.exe i d.dll - carregueu a la memòria del procés LSASS i creeu fitxers de volcat de memòria;
  • sh3.exe - executeu la comanda Mimikatz LSADUMP per extreure credencials;
  • FREEFIRE – nou backdoor lleuger de .NET utilitzant Slack per al comandament i control;
  • Atera - Supervisió i gestió remota;
  • AnyDesk - Escriptori remot;
  • SplashTop - Escriptori remot.

Com a probablement estareu d'acord, res massa greu llevat que els trobeu tots combinats. Excepte un, és a dir: FREEFIRE.

FREEFIRE en particular utilitzat per hackers en Citrix Bleed.

Cal destacar que mentre algunes d'aquestes eines es troben comúnment en entorns empresarials, el seu ús combinat en aquestes campanyes és un fort indicador d'una violació. Mandiant fins i tot ha publicat una regla Yara emprada per detectar la presència de FREEFIRE en un dispositiu. Aquesta eina és particularment valuosa per ajudar les organitzacions a identificar de manera proactiva els sistemes compromesos i prendre accions ràpides per mitigar el risc.

A continuació, podeu trobar la regla Yara per detectar FREEFIRE. No obstant això, si voleu verificar la regla Yara allà o llegir les tècniques MITRE ATT&CK, tanqueu l'article de Mandiant. Allà també podeu trobar el seu enllaç a la guia de "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" de Mandiant en PDF.

Regles Yara de Mandiant per rastrejar FREEFIRE en el context de Citrix Bleed.

I la regla com a text:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Alguns recordatoris per defensar-se de la vulnerabilitat de Citrix NetScaler CVE-2023-4966

La convergència d'aquestes troballes posa de manifest la necessitat urgent que les organitzacions adoptin un enfocament integral de resposta a incidents. Simplement aplicar les actualitzacions de seguretat disponibles no és suficient per abordar les vulnerabilitats existents. El fet que sigui essencial tancar totes les sessions actives per evitar que siguin explotables no es pot subratllar prou. Una resposta completa és imperativa per contenir la vulnerabilitat, avaluar l'abast del compromís i, si és necessari, iniciar les mesures requerides per a la restauració del sistema.

La guia de remedi de Mandiant i altres publicacions ofereixen passos pràctics essencials per a les organitzacions que naveguen per aquests desafiaments després de l'explotació. Les organitzacions governamentals a nivell mundial estan transmetent aquestes recomanacions, advertències i processos de protecció en un intent de posar fi a aquests atacs.

TSplus Advanced Security - La millor protecció contra Citrix Bleed i altres atacs

Estem convençuts de la nostra protecció cibernètica 360°, TSplus Advanced Security , és inigualable per protegir la seva empresa i la infraestructura informàtica contra aquesta amenaça i altres. De fet, vulnerabilitats com l'atac Citrix Bleed apunten a la inadequació de la ciberseguretat en massa contextos i infraestructures. Per tant, les empreses han de prioritzar solucions completes per salvaguardar la seva infraestructura informàtica i dades sensibles. La Seguretat Avançada de TSplus es presenta com una resposta robusta i completa a aquestes preocupacions urgents.

Aquesta eina de seguretat completa ofereix un enfocament multifacètic per garantir la protecció dels sistemes informàtics, protegint-se contra una àmplia gamma de amenaces, inclosos exploits de dia zero, malware i accés no autoritzat.


TSplus Advanced Security com a part d'una suite de programari remot holística.

Una de les principals avantatges de TSplus Advanced Security radica en la seva capacitat de reforçar la infraestructura informàtica de la seva organització contra vulnerabilitats com la CVE-2023-4966, que tenen un impacte de gran abast. Permet a les empreses protegir els seus sistemes evitant l'accés no autoritzat i mitigant de manera efectiva les amenaces de ciberseguretat.

A més a més, la suite de programari TSplus més ampla ofereix funcionalitats inestimables que complementen la Seguretat Avançada de TSplus. De manera similar als quatre punts cardinals, tenim quatre pilars per a una xarxa remota: seguretat, accés, monitoratge i suport.

TSplus Accés Remot per a Tancament de Sessió i Gestió Granular

Primerament, TSplus Accés Remot , així, inclou paràmetres de tancament de sessió que milloren la seguretat assegurant que les sessions d'usuari es tanquin correctament. A més, això redueix el risc d'accés no autoritzat. Aquesta funció és vital per abordar problemes correlacionats com els provocats pels exploits de l'incident Citrix Bleed. Assegurant que cap testimoni de sessió persisteixi, fins i tot després de la correcció, proporciona una capa addicional de protecció.

TSplus Monitorització del servidor per a la vigilància del servidor i de les sessions d'usuari.

A més, TSplus Monitorització del servidor És una eina indispensable per a les organitzacions. De fet, us permet monitorar la salut dels seus servidors i llocs web en temps real. En el context de les vulnerabilitats de Citrix Bleed o similars, la supervisió del servidor permet identificar ràpidament problemes, facilitant així iniciar la resolució de problemes i la correcció oportuna. Aquest enfocament proactiu és essencial per mantenir la integritat dels sistemes informàtics i prevenir violacions.

TSplus Suport Remot per Control a Distància, Reparació i Formació

Finalment, TSplus Suport Remot Juga un paper clau en abordar els reptes de ciberseguretat. Facilita l'assistència remota i la intervenció sense supervisió per a qualsevol problema d'informàtica, assegurant una resolució ràpida i minimitzant els riscos associats a les vulnerabilitats en curs. Ja sigui per resoldre una vulnerabilitat de Citrix o abordar qualsevol altra preocupació d'informàtica, TSplus Remote Support capacita les organitzacions per respondre ràpidament, de manera efectiva i segura, des de qualsevol lloc.

Com a conclusió de la vulnerabilitat de sangria de Citrix CVE-2023-4966, que s'allarga malgrat les actualitzacions.

En resum, TSplus Advanced Security és una gran eina contra aquestes vulnerabilitats. I, en combinació amb la resta de la suite de programari, forma una línia de defensa robusta contra amenaces de ciberseguretat de tot tipus, a més d'oferir una gestió granular, monitoratge en temps real i capacitats de resposta ràpida. Què més podries demanar per assegurar les teves infraestructures d'IT i protegir les dades sensibles de l'empresa.

Ja sigui que vulgueu protegir la infraestructura informàtica de la vostra empresa contra ciberatacs o vulgueu substituir Citrix en la seva totalitat, posa't en contacte avui per telèfon, correu electrònic o a través del nostre lloc web i obteniu el vostre pressupost o prova en segons o uns quants clics.

Compartir:

Facebook Twitter LinkedIn

El teu equip de TSplus

Entrades relacionades

back to top of the page icon