We've detected you might be speaking a different language. Do you want to change to:

Πίνακας περιεχομένων

Τα κυβερνο-νέα αποτελούνται από ιστορίες, κάθε μία πιο τρομακτική και ανησυχητική από την προηγούμενη, ένα θέμα που ταιριάζει για το τέλος του Οκτωβρίου. Το Citrix Bleed δεν αποτελεί εξαίρεση. Μετά από μια προηγούμενη ευπάθεια και επιδιόρθωση τον προηγούμενο καλοκαίρι, η Citrix έχει κάνει τα νέα του αισθητά το μεγαλύτερο μέρος αυτού του φθινοπώρου με ειδήσεις για εισβολές σε μεγάλα εταιρικά και κυβερνητικά δίκτυα. Εδώ είναι πώς η ευπάθεια Citrix Bleed CVE-2023-4966 προκαλεί ανησυχίες σε ορισμένους κύκλους, ακολουθούμενες συστάσεις και οι δικές μας λύσεις και προστασία για να προστατεύσουμε την απομακρυσμένη υποδομή σας από τέτοιους κινδύνους. Τα νέα δεν είναι όλα κακά.

Citrix NetScaler ADC και NetScaler Gateway υπό πυρ.

Citrix Bleed, a critical information-disclosure bug affecting NetScaler ADC and NetScaler Gateway, has been under "mass exploitation," with thousands of vulnerable Citrix servers still online in spite of the release of a patch on October 10. Since then, regular waves of news have reminded us that the vulnerability is still allowing attackers to access the memory of exposed devices. There, attacks extract session tokens for unauthorized access, even once the patch has been applied.

Οι συμμορίες Ransomware έχουν εκμεταλλευτεί αυτήν την ευπάθεια και η Mandiant παρακολουθεί πολλές ομάδες που στοχεύουν σε διάφορους τομείς παγκοσμίως. Η κυβέρνηση των ΗΠΑ την έχει ταξινομήσει ως μια άγνωστη εκμεταλλευμένη ευπάθεια. Η Mandiant που ανήκει στη Google υπογραμμίζει την ανάγκη να τερματιστούν όλες οι ενεργές συνεδρίες για αποτελεσματική αντιμετώπιση. Το σφάλμα έχει εκμεταλλευτεί από τα τέλη Αυγούστου, με τους εγκληματίες να το χρησιμοποιούν για κυβερνοκατασκοπία. Αναμένεται η εκμετάλλευση από χρηματοπιστωτικούς παράγοντες απειλής, επομένως είναι ακόμη πιο σημαντικό να σταματήσετε το Citrix Bleed πριν είναι πολύ αργά.

CVE-2023-4966 Ευπάθεια Συνεχίζεται Παρά την Επιδιόρθωση

Φαίνεται ότι, μέχρι τις 30 Οκτωβρίου, είχαν αφήσει πάνω από 5.000 ευάλωτους διακομιστές εκτεθειμένους στο διαδίκτυο. Το GreyNoise παρατήρησε 137 μοναδικές διευθύνσεις IP που προσπαθούσαν να εκμεταλλευτούν αυτήν την ευπάθεια του Citrix μέσα στην προηγούμενη εβδομάδα. Παρά την άμεση αποκάλυψη και την έκδοση ενός patch από την Citrix (CVE-2023-4966) στις 10 Οκτωβρίου, η κατάσταση επιδείνωθηκε γρήγορα. Ακόμα και μετά την εφαρμογή του patch, τα session tokens παρέμειναν, αφήνοντας τα συστήματα ευάλωτα στην εκμετάλλευση. Η σοβαρότητα της κατάστασης υπογραμμίζεται από το γεγονός ότι, όπως φοβόταν, ομάδες ransomware έχουν εκμεταλλευτεί την ευκαιρία για να εκμεταλλευτούν αυτήν την ευπάθεια, διανέμοντας python scripts για να αυτοματοποιήσουν την αλυσίδα επίθεσης.

Στρατηγικά σχεδιασμένα εργαλεία και βήματα για τις επιθέσεις

Αυτές οι επιθέσεις έχουν υιοθετήσει ένα πολυδιάστατο χαρακτήρα καθώς προχώρησαν πέρα ​​από την αρχική εκμετάλλευση. Οι επιτιθέμενοι φάνηκε αρχικά να ασχολούνται με τη δικτυακή αναγνώριση. Ωστόσο, τα στόχοι έχουν προφανώς επεκταθεί στην κλοπή κρίσιμων διαπιστευτηρίων λογαριασμών και έχουν εμφανίσει πλευρική κίνηση μέσω των χειρισμένων δικτύων. Σε αυτή τη φάση, χρησιμοποίησαν ένα ποικίλο σύνολο εργαλείων, επιδεικνύοντας μια καλά οργανωμένη προσέγγιση στις κακόβουλες τους δραστηριότητες.

Αυτοί που βρίσκονται πίσω από αυτές τις εκστρατείες έχουν επιδείξει υψηλό επίπεδο εξειδίκευσης στην προσέγγισή τους, χρησιμοποιώντας μια ευρεία γκάμα εργαλείων και τεχνικών για να επιτύχουν τους στόχους τους. Οι επιτιθέμενοι χρησιμοποίησαν ειδικά δημιουργημένα αιτήματα HTTP GET για να αναγκάσουν τη συσκευή Citrix να αποκαλύψει το περιεχόμενο της μνήμης του συστήματος, συμπεριλαμβανομένων έγκυρων cookies συνεδρίας Netscaler AAA. Αυτό τους επέτρεψε να παρακάμψουν την πολυπαραγοντική ταυτοποίηση, κάνοντας την εισβολή τους ακόμη πιο δόλια.

Κοίταξε για το Συγκεκριμένο Συνδυασμό Εργαλείων

Ένα εξαιρετικό εργαλείο στο αρσενάλ τους είναι το FREEFIRE, ένα καινοτόμο ελαφρύ backdoor του .NET που χρησιμοποιεί το Slack για τον έλεγχο και τον έλεγχο. Αυτό είναι το μοναδικό ασυνήθιστο εργαλείο στο αρσενάλ. Οι επιθέσεις εκμεταλλεύτηκαν πολλές τυπικές και φυσικές διεργασίες, με την προσθήκη της απλής απομακρυσμένης πρόσβασης και των εργαλείων διαχείρισης επιφάνειας εργασίας Atera, AnyDesk και SplashTop. Αυτό δείχνει πόσο σκληρά έχουν εργαστεί οι χάκερ για να παραμείνουν αόρατοι στην ανίχνευση. Πράγματι, ενώ αυτά τα εργαλεία μπορούν να βρεθούν γενικά σε νόμιμα επιχειρηματικά περιβάλλοντα, μόνο η συνδυασμένη τους χρήση από τους δράστες απειλών αποτελεί ένα σημαντικό σημάδι κινδύνου. Εκτός αν το λογισμικό ασφαλείας και η ομάδα σας παρακολουθούν αυτό τον συνδυασμό που υποδηλώνει μια παραβίαση, θα περνούσε απαρατήρητο.

Εδώ είναι η λίστα των εργαλείων που χρησιμοποιούν οι χάκερ για την ανάκτηση πληροφοριών συνεδρίας και την κίνηση οριζόντια μέσα από δίκτυα (καθώς και οι σκοποί τους όπως περιγράφονται από το Bleeping Computer):

  • net.exe - Αναγνώριση Active Directory (AD);
  • netscan.exe - εσωτερική απαρίθμηση δικτύου;
  • 7-zip - Δημιουργήστε έναν κρυπτογραφημένο τμηματοποιημένο αρχείο για τη συμπίεση δεδομένων αναγνώρισης.
  • certutil - κωδικοποιήστε (base64) και αποκωδικοποιήστε αρχεία δεδομένων και εγκαταστήστε πίσω πόρτες;
  • e.exe και d.dll - φορτώστε στη μνήμη της διεργασίας LSASS και δημιουργήστε αρχεία ανακούφισης μνήμης;
  • sh3.exe - εκτελέστε την εντολή Mimikatz LSADUMP για την εξαγωγή διαπιστευτηρίων;
  • ΔΩΡΕΑΝ ΠΥΡΚΑΓΙΑ - νέο ελαφρύ backdoor .NET χρησιμοποιώντας το Slack για τον έλεγχο και τον έλεγχο;
  • Atera - Απομακρυσμένη παρακολούθηση και διαχείριση;
  • AnyDesk - Απομακρυσμένη επιφάνεια εργασίας;
  • SplashTop – Απομακρυσμένη επιφάνεια εργασίας.

Όπως πιθανόν συμφωνείτε, τίποτα το πολύ ανησυχητικό εκτός αν τα βρείτε όλα συνδυασμένα. Εκτός από ένα, αυτό είναι: FREEFIRE.

FREEFIRE ειδικά Χρησιμοποιείται από Χάκερ στο Citrix Bleed

Αξίζει να σημειωθεί ότι ενώ μερικά από αυτά τα εργαλεία είναι συνήθως βρίσκονται σε επιχειρηματικά περιβάλλοντα, η συνδυασμένη χρήση τους σε αυτές τις εκστρατείες είναι ένα ισχυρό ένδειξη παραβίασης. Η Mandiant έχει ακόμη κυκλοφορήσει μια κανόνα Yara που χρησιμοποιείται για τον εντοπισμό της παρουσίας του FREEFIRE σε μια συσκευή. Αυτό το εργαλείο είναι ιδιαίτερα πολύτιμο στο να βοηθά τις οργανώσεις να εντοπίσουν προληπτικά συστήματα που έχουν διαρρεύσει και να λάβουν γρήγορα μέτρα για τη μείωση του κινδύνου.

Παρακάτω, μπορείτε να βρείτε τον κανόνα Yara για τον εντοπισμό του FREEFIRE. Ωστόσο, αν επιθυμείτε να επαληθεύσετε τον κανόνα Yara εκεί ή να διαβάσετε τις τεχνικές MITRE ATT&CK, αυτές κλείνουν το άρθρο της Mandiant. Εκεί, μπορείτε επίσης να βρείτε τον σύνδεσμο τους στον οδηγό "Αντιμετώπιση του CVE-2023-4966 του Citrix NetScaler ADC/Gateway της Mandiant" σε μορφή PDF.

Οι κανόνες Yara της Mandiant για την καταδίωξη του FREEFIRE στο πλαίσιο του Citrix Bleed.

Και ο κανόνας ως κείμενο:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Μερικές υπενθυμίσεις για την αποτροπή της ευπάθειας του Citrix NetScaler CVE-2023-4966

Η σύγκλιση αυτών των ευρημάτων υπογραμμίζει την επείγουσα ανάγκη για τις οργανώσεις να υιοθετήσουν μια πλήρη προσέγγιση αντίδρασης σε περιστατικά. Απλά η εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας είναι ανεπαρκής για την αντιμετώπιση των υφιστάμενων παραβιάσεων. Το γεγονός ότι είναι απαραίτητο να κλείσουν όλες οι ενεργές συνεδρίες προκειμένου να μην παραμείνουν εκμεταλλεύσιμες δεν μπορεί απλά να υπογραμμιστεί επαρκώς. Μια πλήρης αντίδραση είναι απαραίτητη για να περιοριστεί η παραβίαση, να αξιολογηθεί η έκταση της παραβίασης και, εφόσον είναι απαραίτητο, να εκκινηθούν οι απαραίτητες ενέργειες για την αποκατάσταση του συστήματος.

Ο οδηγός αντιμετώπισης της Mandiant και άλλες δημοσιεύσεις προσφέρουν βασικά πρακτικά βήματα για οργανισμούς που πλοηγούνται σε αυτά τα προκλητικά σενάρια μετά την εκμετάλλευση. Κυβερνητικοί οργανισμοί παγκοσμίως μεταδίδουν αυτές τις συστάσεις, προειδοποιήσεις και διαδικασίες προστασίας σε μια προσπάθεια να βάλουν φρένο σε αυτές τις επιθέσεις.

TSplus Προηγμένη Ασφάλεια - Η Καλύτερη Προστασία Ενάντια στο Citrix Bleed και άλλες Επιθέσεις

Είμαστε πεπεισμένοι για την κυβερνοπροστασία μας 360°, TSplus Προηγμένη Ασφάλεια , είναι ανεπανάληπτο για την προστασία της επιχείρησής σας και της υποδομής IT σας ενάντια σε αυτήν την απειλή και άλλες. Πράγματι, ευπάθειες όπως η εκμετάλλευση Citrix Bleed δείχνουν την ανεπάρκεια της κυβερνοασφάλειας σε πολλά πλαίσια και υποδομές. Επομένως, οι επιχειρήσεις πρέπει να δώσουν προτεραιότητα σε ολοκληρωμένες λύσεις για την προστασία της υποδομής IT τους και των ευαίσθητων δεδομένων τους. Το TSplus Advanced Security αποτελεί μια ισχυρή και πανοραμική απάντηση σε αυτές τις επείγουσες ανησυχίες.

Αυτό το πλήρες εργαλείο ασφαλείας προσφέρει μια πολυπρόσωπη προσέγγιση για να εξασφαλίσει την προστασία των συστημάτων πληροφορικής, προστατεύοντας από μια ευρεία γκάμα απειλών, συμπεριλαμβανομένων των εκμεταλλεύσεων μηδενικής ημέρας, κακόβουλου λογισμικού και μη εξουσιοδοτημένης πρόσβασης.


TSplus Advanced Security ως μέρος μιας ολιστικής σουίτας λογισμικού απομακρυσμένης πρόσβασης

Ένα από τα κύρια οφέλη του TSplus Προηγμένη Ασφάλεια Η δύναμη του βρίσκεται στην ικανότητά του να ενισχύσει την IT υποδομή του οργανισμού σας ενάντια σε ευπάθειες όπως η CVE-2023-4966, που έχουν ευρύτατες επιπτώσεις. Επιτρέπει στις επιχειρήσεις να ασφαλίσουν τα συστήματά τους αποτρέποντας την μη εξουσιοδοτημένη πρόσβαση και αποτελεσματικά αντιμετωπίζοντας τις κυβερνοασφαλειακές απειλές.

Επιπλέον, το ευρύτερο πακέτο λογισμικού TSplus προσφέρει ανεκτίμητα χαρακτηριστικά που συμπληρώνουν την TSplus Advanced Security. Όμοια με τις τέσσερις καρδινάλιες κατευθύνσεις, έχουμε τέσσερις πυλώνες σε ένα απομακρυσμένο δίκτυο: ασφάλεια, πρόσβαση, παρακολούθηση και υποστήριξη.

TSplus Remote Access για την Αποσύνδεση Συνεδρίας και την Λεπτομερή Διαχείριση

Καταρχάς, TSplus Remote Access , έτσι, περιλαμβάνει παραμέτρους αποσύνδεσης συνεδρίας που βελτιώνουν την ασφάλεια εξασφαλίζοντας ότι οι συνεδρίες χρηστών τερματίζονται σωστά. Κυρίως, αυτό μειώνει τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης. Αυτό το χαρακτηριστικό είναι ζωτικής σημασίας για την αντιμετώπιση συνδεδεμένων ζητημάτων όπως αυτά που προκαλούνται από τις εκμεταλλεύσεις του περιστατικού Citrix Bleed. Εξασφαλίζοντας ότι δεν υπάρχουν διατηρούμενα διακριτικά σύνδεσης, ακόμη και μετά την επιδιόρθωση, παρέχει ένα επιπλέον επίπεδο προστασίας.

Παρακολούθηση διακομιστή TSplus για την Επιτήρηση του Διακομιστή και των Συνεδριών Χρήστη.

Επιπλέον, TSplus Παρακολούθηση Διακομιστή Είναι ένα αναντικατάστατο εργαλείο για τις οργανώσεις. Πράγματι, σας επιτρέπει να παρακολουθείτε την υγεία των διακομιστών και των ιστότοπών τους σε πραγματικό χρόνο. Στο πλαίσιο των ευπαθειών Citrix Bleed ή παρόμοιων, η Παρακολούθηση Διακομιστή επιτρέπει την άμεση εντοπισμό προβλημάτων, κάτι που καθιστά ευκολότερη την έναρξη έγκαιρης αντιμετώπισης και αντιμετώπισης. Αυτή η προληπτική προσέγγιση είναι ουσιώδης για τη διατήρηση της ακεραιότητας των συστημάτων πληροφορικής και την πρόληψη παραβιάσεων.

TSplus Απομακρυσμένη Υποστήριξη για Απομακρυσμένο Έλεγχο, Επιδιόρθωση και Εκπαίδευση

Τέλος TSplus Remote Support Το TSplus Remote Support παίζει έναν κεντρικό ρόλο στην αντιμετώπιση των προκλήσεων κυβερνοασφάλειας. Διευκολύνει την απομακρυσμένη υποστήριξη και τη μη παρεμβατική παρέμβαση για οποιοδήποτε πρόβλημα IT, εξασφαλίζοντας γρήγορη επίλυση και ελαχιστοποίηση των κινδύνων που συνδέονται με τις συνεχείς ευπάθειες. Είτε πρόκειται για την επίλυση προβλήματος ευπάθειας Citrix είτε για την αντιμετώπιση οποιασδήποτε άλλης ανησυχίας IT, το TSplus Remote Support επιτρέπει στις οργανώσεις να ανταποκριθούν γρήγορα, αποτελεσματικά και με ασφάλεια, από οπουδήποτε.

Ως Συμπέρασμα της Ευπάθειας Αιμορραγίας Citrix CVE-2023-4966 Παραμένοντας Παρά την Επιδιόρθωση

Συνολικά, το TSplus Advanced Security είναι ένα εξαιρετικό εργαλείο ενάντια σε τέτοιες ευπάθειες. Και, σε συνδυασμό με το υπόλοιπο λογισμικό σουίτας, αποτελεί μια ανθεκτική γραμμή άμυνας ενάντια σε κυβερνοασφαλειακές απειλές όλων των ειδών, καθώς και προσφέρει διαχείριση με γρανουλωτή ακρίβεια, παρακολούθηση σε πραγματικό χρόνο και δυνατότητες άμεσης ανταπόκρισης. Τι άλλο θα μπορούσατε να ζητήσετε για να ασφαλίσετε τις υποδομές του IT σας και να προστατεύσετε τα ευαίσθητα δεδομένα της εταιρείας σας.

Είτε θέλετε να προστατεύσετε την IT υποδομή της εταιρείας σας από κυβερνοεπιθέσεις είτε θέλετε να αντικαταστήσετε την Citrix ως σύνολο, επικοινωνήστε μαζί μας σήμερα τηλεφωνικά, μέσω email ή μέσω της ιστοσελίδας μας και λάβετε την προσφορά ή τη δοκιμή σας σε δευτερόλεπτα ή με λίγα κλικ.

Κοινοποίηση:

Facebook Twitter LinkedIn

Σχετικές Δημοσιεύσεις

back to top of the page icon