We've detected you might be speaking a different language. Do you want to change to:

Indholdsfortegnelse

Cyber nyheder består af historier, der er mere skræmmende og bekymrende end de foregående, et passende tema til slutningen af oktober. Citrix Bleed er ingen undtagelse. Efter en tidligere sårbarhed og patchning tidligt på sommeren, har Citrix været i overskrifterne det meste af denne efterår med nyheder om indtrængen i store virksomheds- og regeringsnetværk. Her er hvordan Citrix Bleed sårbarhed CVE-2023-4966 forårsager søvnløse nætter i visse kredse, efterfølgende anbefalinger og vores helt egne løsninger og beskyttelse for at beskytte din fjerninfrastruktur mod sådanne farer. Nyhederne er ikke alle dårlige.

Citrix NetScaler ADC og NetScaler Gateway Under Fire

Citrix Bleed, en kritisk informationsoffentliggørelsesfejl, der påvirker NetScaler ADC og NetScaler Gateway, har været under "masseudnyttelse", med tusindvis af sårbare Citrix-servere stadig online på trods af frigivelsen af en patch den 10. oktober. Siden da har regelmæssige bølger af nyheder mindet os om, at sårbarheden stadig tillader angribere at få adgang til hukommelsen på eksponerede enheder. Der kan angreb udtrække sessionsnøgler til uautoriseret adgang, selv efter at patchen er blevet anvendt.

Ransomware-grupper har udnyttet denne sårbarhed, og Mandiant sporer flere grupper, der målretter forskellige sektorer globalt. Den amerikanske regering har klassificeret det som en ukendt udnyttet sårbarhed. Google-ejede Mandiant understreger behovet for at afslutte alle aktive sessioner for effektiv afbødning. Fejlen er blevet udnyttet siden slutningen af august, hvor kriminelle har brugt den til cyber-efterretning. Finansielle trusselaktører forventes at udnytte det, så det er endnu vigtigere at stoppe Citrix Bleed, før det er for sent.

CVE-2023-4966 Sårbarhed fortsætter på trods af patchning.

Det ser ud til, at der pr. 30. oktober var over 5.000 sårbare servere udsat på det offentlige internet. GreyNoise observerede 137 individuelle IP-adresser, der forsøgte at udnytte denne Citrix-sårbarhed inden for den seneste uge. På trods af Citrix's hurtige offentliggørelse og udstedelse af en rettelse (CVE-2023-4966) den 10. oktober eskalerede situationen hurtigt. Selv efter anvendelse af rettelsen vedblev sessionsnøgler, hvilket efterlod systemer sårbare over for udnyttelse. Situationens alvor understreges af, at ransomware-grupper, som frygtet, har sprunget på muligheden for at udnytte denne sårbarhed ved at distribuere python-scripts til at automatisere angrebskæden.

Strategisk gennemtænkte værktøjer og trin til angrebene

Disse angreb har antaget en mangfoldig karakter, da de udviklede sig ud over den indledende udnyttelse. Angriberne syntes oprindeligt engageret i netværksrekognoscering. Dog er målene åbenlyst udvidet til tyveri af kritiske kontokredentialer og vist laterale bevægelser gennem de kompromitterede netværk. I denne fase anvendte de en varieret sæt værktøjer, hvilket demonstrerede en velorkestreret tilgang til deres ondsindede aktiviteter.

De bag disse kampagner har vist en høj grad af sofistikation i deres tilgang, idet de anvender et bredt udvalg af værktøjer og teknikker for at opnå deres mål. Angribere brugte specielt udformede HTTP GET-anmodninger for at tvinge Citrix-apparatet til at afsløre systemhukommelsesindhold, herunder gyldige Netscaler AAA-sessioncookies. Dette har tilladt dem at omgå multifaktorautentificering, hvilket gør deres indtrængen endnu mere insidios.

Hold øje med den specifikke værktøjskombination.

Et bemærkelsesværdigt værktøj i deres arsenal er FREEFIRE, en ny letvægts .NET bagdør, der bruger Slack til kommando- og kontrol. Dette er det eneste usædvanlige værktøj i arsenalet. Angreb udnyttede mange standard- og native processer, med tilføjelsen af de almindelige fjernskrivebordsadgangs- og administrationsværktøjer Atera, AnyDesk og SplashTop. Dette viser, hvor hårdt hackere har arbejdet for at forblive usynlige for opdagelse. Faktisk, mens disse værktøjer individuelt set generelt findes i legitime virksomhedsmiljøer, er det kun deres kombinerede implementering af trusselsaktørerne, der fungerer som et betydeligt rødt flag. Medmindre dit sikkerhedssoftware og team holder øje med denne kombination, der indikerer et kompromis, vil det gå ubemærket hen.

Her er listen over værktøjer, som hackerne har brugt til at hente sessionsoplysninger og bevæge sig horisontalt gennem netværk (samt deres formål som beskrevet af Bleeping Computer):

  • net.exe – Aktiv mapning af Active Directory (AD);
  • netscan.exe - intern netværksopregning;
  • 7-zip - opret en krypteret segmenteret arkiv til komprimering af rekognoseringsdata;
  • certutil - kryptere (base64) og afkode datafiler og implementere bagdøre;
  • e.exe og d.dll - indlæs i LSASS-processens hukommelse og opret hukommelsesdumpfiler;
  • sh3.exe - kør Mimikatz LSADUMP kommandoen til udvinding af legitimationsoplysninger;
  • FREEFIRE - ny letvægts .NET bagdør ved hjælp af Slack til kommando og kontrol;
  • Atera -Fjernovervågning og -styring;
  • AnyDesk - Fjernskrivebord;
  • SplashTop - Fjernskrivebord.

Som du sandsynligvis er enig i, er der ikke meget galt, medmindre du finder dem alle kombineret. Bortset fra en, det vil sige: FREEFIRE.

FREEFIRE i særdeleshed brugt af hackere i Citrix Bleed.

Det er værd at bemærke, at selvom nogle af disse værktøjer ofte findes i virksomhedsmiljøer, er deres kombinerede brug i disse kampagner et stærkt tegn på et brud. Mandiant har endda frigivet en Yara-regel, der anvendes til at registrere tilstedeværelsen af FREEFIRE på en enhed. Dette værktøj er særligt værdifuldt til at hjælpe organisationer med proaktivt at identificere kompromitterede systemer og træffe hurtige foranstaltninger for at mindske risikoen.

Nedenfor kan du finde Yara-reglen til at opdage FREEFIRE. Hvis du ønsker at verificere Yara-reglen der eller læse MITRE ATT&CK-teknikkerne, lukker disse artiklen fra Mandiant. Der kan du også finde deres link til Mandiants "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" guide i PDF-format.

Mandiant's Yara-regler til at opspore FREEFIRE i Citrix Bleed-kontekst

Og reglen som tekst:

Yara-regel: import "pe" regel M_Hunting_Backdoor_FREEFIRE { meta: forfatter = "Mandiant" beskrivelse = "Dette er en jagtregel til at opdage FREEFIRE-prøver ved hjælp af OP-kode sekvenser i getLastRecord metoden" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } betingelse: uint16(0) == 0x5A4D og filstørrelse >= 5KB og pe.imports("mscoree.dll") og alle dem

Nogle påmindelser om at afværge Citrix NetScaler sårbarhed CVE-2023-4966.

Konvergensen af disse fund understreger det presserende behov for organisationer at vedtage en omfattende incidentresponsmetode. Det er simpelthen utilstrækkeligt at anvende de tilgængelige sikkerhedsopdateringer for at håndtere eksisterende brud. Det faktum, at det er afgørende at lukke alle aktive sessioner, medmindre de forbliver udnyttelige, kan simpelthen ikke understreges tilstrækkeligt. En fuldt udviklet respons er afgørende for at indeholde bruddet, vurdere omfanget af kompromitteringen og hvor nødvendigt initiere de nødvendige trin til systemgendannelse.

Mandiants afhjælpningsvejledning og andre publikationer tilbyder essentielle praktiske trin for organisationer, der navigerer i disse udfordrende post-udnyttelsesscenarier. Globale regeringsorganisationer videreformidler disse anbefalinger, advarsler og sikringsprocesser i et forsøg på at sætte en stopper for disse angreb.

TSplus Avanceret Sikkerhed - Den Bedste Beskyttelse Mod Citrix Blødning og Andre Angreb

Vi er overbeviste om vores 360° cybersikkerhed. TSplus Advanced Security , er uovertruffen til at beskytte din virksomhed og IT-infrastruktur mod denne trussel og andre. Faktisk peger sårbarheder som Citrix Bleed-udnyttelsen på utilstrækkeligheden af cybersikkerhed i alt for mange sammenhænge og infrastrukturer. Derfor skal virksomheder prioritere omfattende løsninger for at beskytte deres IT-infrastruktur og følsomme data. TSplus Advanced Security står som et robust og altomfattende svar på disse presserende bekymringer.

Dette omfattende sikkerhedsværktøj tilbyder en alsidig tilgang for at sikre beskyttelsen af IT-systemer, der beskytter mod en bred vifte af trusler, herunder zero-day exploits, malware og uautoriseret adgang.


TSplus Advanced Security som en del af en helhedsorienteret fjernsoftwarepakke

En af de vigtigste fordele ved TSplus Advanced Security Ligger i dens evne til at styrke din organisations IT-infrastruktur mod sårbarheder som CVE-2023-4966, som har en vidtrækkende indvirkning. Det gør det muligt for virksomheder at sikre deres systemer ved at forhindre uautoriseret adgang og effektivt mindske cybersikkerhedstrusler.

Desuden tilbyder den bredere TSplus-softwarepakke uvurderlige funktioner, der supplerer TSplus Advanced Security. På samme måde som de fire verdenshjørner har vi fire søjler til et fjernnetværk: sikkerhed, adgang, overvågning og support.

TSplus Fjernadgang til Session Logoff og Granulær Styring

Først TSplus Remote Access Dette inkluderer session logoff-parametre, der forbedrer sikkerheden ved at sikre, at brugersessioner afsluttes korrekt. Dette reducerer risikoen for uautoriseret adgang væsentligt. Denne funktion er afgørende for at tackle relaterede problemer såsom dem, der er forårsaget af Citrix Bleed-hændelsen. Ved at sikre, at ingen sessionsnøgler forbliver, selv efter patchning, giver det et ekstra lag beskyttelse.

TSplus Serverovervågning til server- og brugersessionsovervågning

Desuden TSplus Server Monitoring er et uundværligt værktøj for organisationer. Faktisk gør det det muligt for dig at overvåge sundheden af deres servere og hjemmesider i realtid. I forbindelse med Citrix Bleed eller lignende sårbarheder muliggør Serverovervågning hurtig identifikation af problemer, hvilket igen gør det lettere at iværksætte rettidig fejlfinding og afhjælpning. Denne proaktive tilgang er afgørende for at opretholde integriteten af IT-systemer og forhindre brud.

TSplus Fjernsupport til Fjernstyring, Fejlfinding og Træning

Endelig, TSplus Remote Support Spiller en afgørende rolle i håndtering af cybersikkerhedsudfordringer. Det letter fjernsupport og ubemandede indgreb i enhver IT-problemstilling, hvilket sikrer hurtig løsning og minimerer risiciene forbundet med vedvarende sårbarheder. Uanset om man fejlsøger en Citrix-sårbarhed eller håndterer andre IT-bekymringer, giver TSplus Remote Support organisationer mulighed for at reagere hurtigt, effektivt og sikkert, uanset hvor de befinder sig.

Som en konklusion på Citrix Bleed sårbarhed CVE-2023-4966, der bliver længere end velkommen på trods af patching.

I oversigten er TSplus Advanced Security et fantastisk værktøj mod sådanne sårbarheder. Og i kombination med resten af softwarepakken danner den en robust forsvarslinje mod cybersikkerhedstrusler af alle slags samt tilbyder granulær styring, realtids overvågning og hurtige reaktionsmuligheder. Hvad mere kunne du bede om for at sikre dine IT-infrastrukturer og beskytte følsomme virksomhedsdata.

Uanset om du vil beskytte din virksomheds IT-infrastruktur mod cyberangreb eller vil erstatte Citrix som helhed, kontakt os i dag via telefon, e-mail eller via vores hjemmeside og få dit tilbud eller prøveversion på få sekunder eller et par klik.

Del:

Facebook Twitter LinkedIn

Dit TSplus Team

Relaterede indlæg

back to top of the page icon