)
)
)
)
Jak zabezpečit port RDP
Tento článek poskytuje hluboký pohled na zabezpečení vašich RDP portů, šitý pro technicky zdatné IT profesionály.
)
)
Kybernetické zprávy jsou tvořeny příběhy každým více děsivým a znepokojujícím než ten předchozí, což je vhodné téma pro konec října. Citrix Bleed není výjimkou. Po předchozí zranitelnosti a záplatě na začátku léta, Citrix se stal hlavním tématem většiny tohoto podzimu s novinkami o průniku do velkých firemních a vládních sítí. Zde je, jak zranitelnost Citrix Bleed CVE-2023-4966 způsobuje nespavé noci v některých sférách, následné doporučení a naše vlastní řešení a ochrana k ochraně vaší vzdálené infrastruktury před takovými nebezpečími. Zprávy nejsou všechny špatné.
Citrix NetScaler ADC a NetScaler Gateway pod palbou
Citrix Bleed, kritická chyba způsobující únik informací ovlivňující NetScaler ADC a NetScaler Gateway, byla pod "masovým zneužíváním", přičemž tisíce zranitelných serverů Citrix jsou stále online navzdory vydání záplaty dne 10. října. Od té doby nás pravidelné vlny zpráv připomínají, že zranitelnost stále umožňuje útočníkům přistupovat k paměti vystavených zařízení. Útoky zde extrahují relační tokeny pro neoprávněný přístup, dokonce i poté, co byla záplata aplikována.
Ransomware skupiny využívají tuto zranitelnost a Mandiant sleduje několik skupin cílících na různé sektory globálně. Americká vláda ji klasifikovala jako neznámou zneužitou zranitelnost. Společnost Mandiant vlastněná společností Google zdůrazňuje potřebu ukončit všechny aktivní relace pro efektivní zmírnění. Chyba byla zneužívána od konce srpna, přičemž zločinci ji využívají k kyber špionáži. Finanční hrozby se očekávalo, že ji využijí, takže je ještě důležitější zastavit Citrix Bleed dříve, než bude příliš pozdě.
CVE-2023-4966 Zranitelnost Pokračuje Navzdory Opravě
Zdá se, že k 30. říjnu zůstalo přes 5 000 zranitelných serverů vystavených na veřejném internetu. GreyNoise zaznamenal 137 jednotlivých IP adres, které se pokusily zneužít tuto zranitelnost Citrixu během minulého týdne. Navzdory promptnímu zveřejnění a vydání záplaty ze strany Citrixu (CVE-2023-4966) dne 10. října situace rychle eskalovala. Dokonce i po aplikaci záplaty přetrvávaly relační tokeny, což zanechalo systémy zranitelné k zneužití. Závažnost situace je zdůrazněna skutečností, že, jak se obávalo, skupiny ransomwaru využily příležitosti k zneužití této zranitelnosti, distribuují python skripty k automatizaci útoku.
Strategicky promyšlené nástroje a kroky pro útoky
Tyto útoky získaly multifacetovanou povahu, jak postupovaly za původním využitím. Útočníci se zdáli být zpočátku zapojeni do síťového průzkumu. Nicméně cíle se zjevně rozšířily na krádež kritických účetních údajů a projevily se laterálním pohybem prostřednictvím kompromitovaných sítí. V této fázi využili různorodou sadu nástrojů, což ukázalo dobře orchestrální přístup k jejich zlomyslným aktivitám.
Ti, kteří stojí za těmito kampaněmi, prokázali vysokou úroveň sofistikace ve svém přístupu, používají širokou škálu nástrojů a technik k dosažení svých cílů. Útočníci použili speciálně vytvořené HTTP GET požadavky k tomu, aby donutili zařízení Citrix odhalit obsah systémové paměti, včetně platných souborů cookie relace Netscaler AAA. To jim umožnilo obejít multifaktorovou autentizaci, což jejich proniknutí činí ještě zákeřnějším.
Hledejte konkrétní kombinaci nástrojů
Jedním pozoruhodným nástrojem v jejich arzenálu je FREEFIRE, nový lehký .NET zadní vrátka používající Slack pro řízení a kontrolu. Toto je jediný neobvyklý nástroj v arzenálu. Útoky využívaly mnoho standardních a nativních procesů, s přidáním běžného vzdáleného přístupu a správy nástrojů pro vzdálenou plochu Atera, AnyDesk a SplashTop. To ukazuje, jak tvrdě hackeři pracovali na tom, aby zůstali neviditelní pro detekci. Skutečně, zatímco tyto nástroje jsou obvykle nalezeny v legitimních podnikových prostředích, pouze jejich kombinované nasazení hrozbami slouží jako významná červená vlajka. Pokud vaše bezpečnostní software a tým nejsou pozorní na tuto kombinaci naznačující kompromis, projde to nepozorováno.
Zde je seznam nástrojů, které hackeři používají k získání informací o relaci a pohybu po sítích (stejně jako jejich účely popsané serverem Bleeping Computer):
- net.exe – Průzkum Active Directory (AD);
- netscan.exe - interní výčet sítě;
- 7-zip – vytvořit šifrovaný segmentovaný archiv pro komprimaci průzkumných dat;
- certutil – zakódovat (base64) a dekódovat datové soubory a nasadit zadní vrátka;
- e.exe a d.dll - načtěte do paměti procesu LSASS a vytvořte soubory s paměťovým dumpem;
- sh3.exe – spusťte příkaz Mimikatz LSADUMP pro extrakci přihlašovacích údajů;
- FREEFIRE – nový lehký .NET zadní vchod využívající Slack pro řízení a kontrolu;
- Atera – Vzdálený monitoring a správa;
- AnyDesk – Vzdálená plocha;
- SplashTop – Vzdálená plocha.
Jak se pravděpodobně shodnete, není nic zvláštního, pokud je všechno kombinováno. Kromě jednoho, a to je: FREEFIRE.
FREEFIRE je zejména používán hackery v Citrix Bleed.
Stojí za zmínku, že zatímco některé z těchto nástrojů jsou běžně nalezeny v podnikovém prostředí, jejich kombinované použití v těchto kampaních je silným indikátorem porušení. Mandiant dokonce vydal pravidlo Yara, které slouží k detekci přítomnosti FREEFIRE na zařízení. Tento nástroj je zvláště cenný při pomoci organizacím aktivně identifikovat kompromitované systémy a rychle přijmout opatření k minimalizaci rizika.
Níže naleznete pravidlo Yara pro detekci FREEFIRE. Pokud však chcete ověřit pravidlo Yara tam nebo si přečíst techniky MITRE ATT&CK, zavřete článek Mandiant. Tam také najdete odkaz na jejich průvodce „Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation“ ve formátu PDF.
Pravidla Yara od společnosti Mandiant pro vyhledání FREEFIRE v kontextu Citrix Bleed.
)
A pravidlo jako text:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Několik připomínek k odražení zranitelnosti Citrix NetScaler CVE-2023-4966
Konvergence těchto zjištění zdůrazňuje naléhavou potřebu, aby organizace přijaly komplexní přístup k reakci na incidenty. Pouhé použití dostupných bezpečnostních aktualizací nestačí k řešení existujících porušení. Skutečnost, že je nezbytné uzavřít všechny aktivní relace, aby nezůstaly zneužitelné, nelze dostatečně zdůraznit. Úplná reakce je nezbytná k omezení porušení, posouzení rozsahu kompromitu a případně zahájení kroků potřebných k obnovení systému.
Mandiantův průvodce remediací a další publikace nabízejí zásadní praktické kroky pro organizace, které se pohybují v těchto náročných scénářích po exploataci. Vládní organizace po celém světě předávají tyto doporučení, varování a procesy ochrany v pokusu zastavit tyto útoky.
TSplus Advanced Security - Nejlepší ochrana proti Citrix Bleed a dalším útokům
Jsme přesvědčeni o naší 360° kybernetické ochraně, TSplus Advanced Security TSplus Advanced Security je nepřekonatelným řešením k ochraně vašeho podnikání a IT infrastruktury před touto hrozbou a dalšími. Skutečně, zranitelnosti jako je exploit Citrix Bleed poukazují na nedostatečnost kybernetické bezpečnosti v příliš mnoha kontextech a infrastrukturách. Proto by podniky měly dát přednost komplexním řešením k ochraně své IT infrastruktury a citlivých dat. TSplus Advanced Security představuje robustní a všestrannou odpověď na tyto naléhavé obavy.
Tento komplexní bezpečnostní nástroj nabízí mnohostranný přístup k zajištění ochrany IT systémů, chrání před širokou škálou hrozeb, včetně zero-day exploitů, malwaru a neoprávněného přístupu.
TSplus Advanced Security jako součást celkového softwarového balíčku pro vzdálený přístup.
Jedním z klíčových benefitů TSplus Advanced Security spočívá v jeho schopnosti posílit IT infrastrukturu vaší organizace proti zranitelnostem jako CVE-2023-4966, které mají dalekosáhlý dopad. Umožňuje firmám zabezpečit své systémy tím, že brání neoprávněnému přístupu a efektivně zmírňuje kybernetické hrozby.
Kromě toho širší softwarový balík TSplus nabízí neocenitelné funkce, které doplňují TSplus Advanced Security. Stejně jako čtyři hlavní body máme čtyři pilíře vzdálené sítě: bezpečnost, přístup, monitorování a podpora.
TSplus vzdálený přístup pro odhlášení relace a granulární správu
Nejprve TSplus Remote Access , což zahrnuje parametry odhlášení ze sezení, které zvyšují bezpečnost tím, že zajistí správné ukončení uživatelských sezení. To významně snižuje riziko neoprávněného přístupu. Tato funkce je klíčová při řešení souvisejících problémů, jako jsou ty způsobené incidentem Citrix Bleed. Tím, že se ujistí, že žádné relační tokeny nezůstávají, i po záplatování, poskytuje další vrstvu ochrany.
TSplus Server Monitoring pro sledování serveru a uživatelských relací.
Kromě toho TSplus Server Monitoring je nezbytným nástrojem pro organizace. Skutečně vám umožňuje sledovat zdraví svých serverů a webových stránek v reálném čase. V kontextu Citrix Bleed nebo podobných zranitelností umožňuje monitorování serverů rychlé identifikace problémů, což zase usnadňuje zahájení včasného ladění a odstraňování. Tento preventivní přístup je zásadní pro udržení integrity IT systémů a prevenci průlomů.
TSplus Vzdálená podpora pro vzdálené ovládání, opravy a školení
Nakonec TSplus Remote Support Hraje klíčovou roli při řešení bezpečnostních výzevů. Umožňuje vzdálenou pomoc a nehlídaný zásah do jakéhokoli IT problému, zajistí rychlé řešení a minimalizuje rizika spojená s trvajícími zranitelnostmi. Ať už řešíte zranitelnost Citrixu nebo jakýkoli jiný IT problém, TSplus Remote Support umožňuje organizacím rychle, efektivně a bezpečně reagovat odkudkoli.
Jako závěr k Citrix Bleed Vulnerability CVE-2023-4966, která přetrvává navzdory opravě.
V souhrnu je TSplus Advanced Security skvělým nástrojem proti takovým zranitelnostem. A ve spojení s celým softwarovým balíkem tvoří robustní linii obrany proti kybernetickým hrozbám všeho druhu a nabízí granulární správu, monitorování v reálném čase a schopnosti rychlé reakce. Co víc byste mohli požadovat k zajištění bezpečnosti vašich IT infrastruktur a ochraně citlivých firemních dat.
Chcete-li chránit IT infrastrukturu vaší společnosti před kybernetickými útoky nebo ji chcete úplně nahradit Citrixem, kontaktujte nás dnes telefonicky, e-mailem nebo prostřednictvím našich webových stránek a získejte svůj cenový odhad nebo zkušební verzi během několika sekund nebo pár kliknutí.
)
)
)
