We've detected you might be speaking a different language. Do you want to change to:

Índice

Las noticias cibernéticas están hechas de historias cada vez más aterradoras y preocupantes que las anteriores, un tema apropiado para finales de octubre. Citrix Bleed no es una excepción. Después de una vulnerabilidad anterior y su parcheo a principios del verano, Citrix ha estado en los titulares la mayor parte de este otoño con noticias de incursiones en grandes redes corporativas y gubernamentales. Así es como la vulnerabilidad Citrix Bleed CVE-2023-4966 está causando noches de insomnio en algunas esferas, las recomendaciones consiguientes y nuestras propias soluciones y protección para resguardar su infraestructura remota contra tales peligros. Las noticias no son del todo malas.

Citrix NetScaler ADC y NetScaler Gateway bajo fuego

Citrix Bleed, un error crítico de divulgación de información que afecta a NetScaler ADC y NetScaler Gateway, ha estado bajo "explotación masiva", con miles de servidores Citrix vulnerables aún en línea a pesar del lanzamiento de un parche el 10 de octubre. Desde entonces, oleadas regulares de noticias nos han recordado que la vulnerabilidad sigue permitiendo a los atacantes acceder a la memoria de los dispositivos expuestos. Allí, los ataques extraen tokens de sesión para acceso no autorizado, incluso una vez aplicado el parche.

Las bandas de ransomware han estado explotando esta vulnerabilidad y Mandiant está rastreando múltiples grupos que apuntan a varios sectores a nivel mundial. El gobierno de EE. UU. la ha clasificado como una vulnerabilidad explotada desconocida. Mandiant, propiedad de Google, enfatiza la necesidad de terminar todas las sesiones activas para una mitigación efectiva. El error ha sido explotado desde finales de agosto, con criminales usándolo para ciberespionaje. Se espera que actores de amenazas financieras lo exploten, por lo que es aún más importante detener Citrix Bleed antes de que sea demasiado tarde.

Vulnerabilidad CVE-2023-4966 en curso a pesar de los parches

Parece que, a partir del 30 de octubre, había más de 5,000 servidores vulnerables expuestos en la internet pública. GreyNoise observó 137 direcciones IP individuales intentando explotar esta vulnerabilidad de Citrix en la última semana. A pesar de la pronta divulgación de Citrix y la emisión de un parche (CVE-2023-4966) el 10 de octubre, la situación se escaló rápidamente. Incluso después de aplicar el parche, los tokens de sesión persistieron, dejando los sistemas vulnerables a la explotación. La gravedad de la situación se subraya por el hecho de que, como se temía, los equipos de ransomware han aprovechado la oportunidad para explotar esta vulnerabilidad, distribuyendo scripts de python para automatizar la cadena de ataque.

Herramientas y pasos estratégicamente pensados para los ataques

Estos ataques han adoptado una naturaleza multifacética a medida que progresaron más allá de la explotación inicial. Los atacantes parecían inicialmente comprometidos con el reconocimiento de la red. Sin embargo, los objetivos se han extendido obviamente al robo de credenciales de cuentas críticas y han mostrado movimiento lateral a través de las redes comprometidas. En esta fase, emplearon un conjunto diverso de herramientas, demostrando un enfoque bien orquestado para sus actividades maliciosas.

Los responsables de estas campañas han demostrado un alto nivel de sofisticación en su enfoque, empleando una amplia gama de herramientas y técnicas para lograr sus objetivos. Los atacantes utilizaron solicitudes HTTP GET especialmente diseñadas para forzar al dispositivo Citrix a revelar el contenido de la memoria del sistema, incluidas las cookies de sesión válidas de Netscaler AAA. Esto les ha permitido eludir la autenticación multifactor, haciendo su intrusión aún más insidiosa.

Esté atento a la combinación específica de herramientas

Una herramienta notable en su arsenal es FREEFIRE, un novedoso backdoor ligero .NET que utiliza Slack para el comando y control. Esta es la única herramienta inusual en el arsenal. Los ataques aprovecharon muchos procesos estándar y nativos, con la adición de las herramientas de acceso y gestión de escritorio remoto comunes Atera, AnyDesk y SplashTop. Esto demuestra lo mucho que han trabajado los hackers para permanecer invisibles a la detección. De hecho, mientras que individualmente, estas herramientas generalmente se encuentran en entornos empresariales legítimos, solo su despliegue combinado por los actores de amenazas sirve como una señal de alerta significativa. A menos que su software de seguridad y su equipo estén atentos a esta combinación indicativa de un compromiso, pasaría desapercibido.

Aquí está la lista de herramientas que los hackers han estado utilizando para recuperar información de sesión y moverse horizontalmente a través de redes (así como sus propósitos descritos por Bleeping Computer):

  • net.exe – Reconocimiento de Active Directory (AD);
  • netscan.exe – enumeración de red interna
  • 7-zip - crear un archivo segmentado encriptado para comprimir datos de reconocimiento;
  • certutil - codificar (base64) y decodificar archivos de datos y desplegar puertas traseras;
  • e.exe y d.dll – cargar en la memoria del proceso LSASS y crear archivos de volcado de memoria;
  • sh3.exe – ejecuta el comando Mimikatz LSADUMP para la extracción de credenciales;
  • FREEFIRE – nuevo backdoor ligero de .NET que utiliza Slack para comando y control;
  • Atera – Monitoreo y gestión remotos
  • AnyDesk – Escritorio remoto;
  • SplashTop – Escritorio remoto.

Como probablemente estés de acuerdo, nada fuera de lo común a menos que los encuentres todos combinados. Excepto uno, es decir: FREEFIRE.

FREEFIRE en particular utilizado por hackers en Citrix Bleed

Cabe destacar que, aunque algunas de estas herramientas se encuentran comúnmente en entornos empresariales, su uso combinado en estas campañas es un fuerte indicador de una brecha. Mandiant incluso ha lanzado una regla Yara empleada para detectar la presencia de FREEFIRE en un dispositivo. Esta herramienta es particularmente valiosa para ayudar a las organizaciones a identificar proactivamente sistemas comprometidos y tomar medidas rápidas para mitigar el riesgo.

A continuación, puede encontrar la regla Yara para detectar FREEFIRE. Aún así, si desea verificar la regla Yara allí o leer las técnicas MITRE ATT&CK, estas cierran el artículo de Mandiant. Allí, también puede encontrar su enlace a la guía de Mandiant “Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation” en PDF.

Las reglas Yara de Mandiant para cazar FREEFIRE en el contexto de Citrix Bleed

Y la regla como texto:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Algunas recomendaciones para evitar la vulnerabilidad de Citrix NetScaler CVE-2023-4966

La convergencia de estos hallazgos destaca la necesidad urgente de que las organizaciones adopten un enfoque integral de respuesta a incidentes. Simplemente aplicar las actualizaciones de seguridad disponibles es insuficiente para abordar las brechas existentes. El hecho de que sea esencial cerrar todas las sesiones activas para que no permanezcan explotables no puede subrayarse lo suficiente. Una respuesta completa es imperativa para contener la brecha, evaluar la magnitud del compromiso y, cuando sea necesario, iniciar los pasos requeridos para la restauración del sistema.

La guía de remediación de Mandiant y otras publicaciones ofrecen pasos prácticos esenciales para las organizaciones que navegan estos desafiantes escenarios post-explotación. Las organizaciones gubernamentales a nivel mundial están transmitiendo estas recomendaciones, advertencias y procesos de salvaguardia en un intento de detener estos ataques.

TSplus Advanced Security - La mejor protección contra Citrix Bleed y otros ataques

Estamos convencidos de nuestra protección cibernética 360°. TSplus Advanced Security es inigualable para proteger su negocio e infraestructura de TI contra esta amenaza y otras. De hecho, vulnerabilidades como la explotación de Citrix Bleed señalan la insuficiencia de la ciberseguridad en demasiados contextos e infraestructuras. Por lo tanto, las empresas deben priorizar soluciones integrales para proteger su infraestructura de TI y datos sensibles. TSplus Advanced Security se presenta como una respuesta robusta y completa a estas preocupaciones urgentes.

Esta herramienta de seguridad integral ofrece un enfoque multifacético para garantizar la protección de los sistemas informáticos, protegiendo contra una amplia gama de amenazas, incluidos los exploits de día cero, el malware y el acceso no autorizado.


TSplus Advanced Security como parte de una suite de software remoto integral

Una de las principales ventajas de TSplus Advanced Security Radica en su capacidad para fortalecer la infraestructura de TI de su organización contra vulnerabilidades como CVE-2023-4966, que tienen un impacto de gran alcance. Permite a las empresas asegurar sus sistemas al prevenir el acceso no autorizado y mitigar de manera efectiva las amenazas cibernéticas.

Además, la suite de software más amplia de TSplus ofrece características invaluables que complementan TSplus Advanced Security. De manera similar a los cuatro puntos cardinales, tenemos cuatro pilares para una red remota: seguridad, acceso, monitoreo y soporte.

TSplus Remote Access para cierre de sesión y gestión granular

Primero TSplus Acceso Remoto Por lo tanto, incluye parámetros de cierre de sesión que mejoran la seguridad al garantizar que las sesiones de los usuarios se terminen correctamente. Lo más importante, esto reduce el riesgo de acceso no autorizado. Esta característica es vital para abordar problemas correlacionados como los provocados por los exploits del incidente Citrix Bleed. Al garantizar que no persistan tokens de sesión, incluso después de aplicar parches, proporciona una capa adicional de protección.

Supervisión del Servidor TSplus para la Vigilancia del Servidor y de las Sesiones de Usuario

Además, TSplus Server Monitoring es una herramienta indispensable para las organizaciones. De hecho, le permite monitorear la salud de sus servidores y sitios web en tiempo real. En el contexto de Citrix Bleed o vulnerabilidades similares, Server Monitoring permite la identificación rápida de problemas, lo que a su vez facilita la iniciación de la solución de problemas y la remediación a tiempo. Este enfoque proactivo es esencial para mantener la integridad de los sistemas de TI y prevenir brechas.

TSplus Remote Support para control remoto, reparación y formación

Por último TSplus Soporte Remoto desempeña un papel fundamental en la resolución de desafíos de ciberseguridad. Facilita la asistencia remota y la intervención desatendida para cualquier problema de TI, asegurando una resolución rápida y minimizando los riesgos asociados con las vulnerabilidades en curso. Ya sea solucionando una vulnerabilidad de Citrix o abordando cualquier otra preocupación de TI, TSplus Remote Support permite a las organizaciones responder de manera rápida, efectiva y segura, desde cualquier lugar.

Como conclusión a la vulnerabilidad Citrix Bleed CVE-2023-4966 que sigue presente a pesar de los parches

En resumen, TSplus Advanced Security es una gran herramienta contra tales vulnerabilidades. Y, en combinación con el resto de la suite de software, forma una línea de defensa robusta contra las amenazas de ciberseguridad de todo tipo, además de ofrecer gestión granular, monitoreo en tiempo real y capacidades de respuesta rápida. ¿Qué más se puede pedir para asegurar sus infraestructuras de TI y proteger los datos sensibles de la empresa?

Ya sea que desee proteger la infraestructura de TI de su empresa contra ciberataques o reemplazar Citrix por completo, póngase en contacto hoy por teléfono, correo electrónico o a través de nuestro sitio web y obtenga su cotización o prueba en segundos o con unos pocos clics.

Compartir:

Facebook Twitter LinkedIn

Su equipo de TSplus

Publicaciones relacionadas

back to top of the page icon