چگونه پورت RDP را امن کنیم
این مقاله به تحقیق عمیق در مورد امنیت پورتهای RDP شما میپردازد، ویژه حرفهایان فناوری اطلاعات.
We've detected you might be speaking a different language. Do you want to change to:
وبلاگ TSPLUS
مطالعه کنید که آسیب پذیری Citrix Bleed CVE-2023-4966 باعث شب های بی خوابی در برخی حوزه ها شده است، پیشنهادات پیگیری و راه حل ها و حفاظت خودمان برای محافظت از زیرساخت از راه دور شما در برابر چنین خطراتی.
اخبار سایبر از داستانهایی تشکیل شده است که هر کدام ترسناکتر و نگرانکنندهتر از قبلی هستند، یک موضوع مناسب برای پایان اکتبر. Citrix Bleed هم استثنا نیست. پس از یک آسیبپذیری قبلی و رفع آن در اوایل تابستان، Citrix اکثر این پاییز با اخبار نفوذ به شبکههای بزرگ شرکتی و دولتی در صفحه اول رسانهها بوده است. در اینجا توضیح داده شده است که چگونه آسیبپذیری Citrix Bleed CVE-2023-4966 شبهای بیخوابی را برای برخی افراد به همراه پیشنهادات و راهحلهای خودمان و محافظت برای محافظت از زیرساخت از راه دور خود در برابر چنین خطراتی ایجاد میکند. اخبار همه بد نیست.
Citrix Bleed، یک باگ اطلاعات حیاتی که تأثیری بر NetScaler ADC و NetScaler Gateway دارد، تحت "استفاده جمعی" قرار گرفته است، با هزاران سرور آسیب پذیر Citrix هنوز آنلاین است، با وجود انتشار یک پچ در تاریخ 10 اکتبر. از آن زمان، موجهای منظم اخبار ما را یادآوری کردهاند که آسیبپذیری هنوز به حملهکنندگان اجازه دسترسی به حافظه دستگاههای بیرونشده را میدهد. در آنجا، حملات توکنهای جلسه را برای دسترسی غیرمجاز استخراج میکنند، حتی پس از اعمال پچ.
گروههای رنسوموئر از این آسیبپذیری سوءاستفاده میکنند و Mandiant چند گروهی را که به صورت جهانی به بخشهای مختلف حمله میکنند ردیابی میکند. دولت آمریکا آن را به عنوان یک آسیبپذیری مورد سوءاستفاده ناشناخته دستهبندی کرده است. Mandiant که متعلق به گوگل است، بر جبران تمام نشستهای فعال برای کاهش موثریت تأکید میکند. از اواخر ماه اوت، این باگ مورد سوءاستفاده قرار گرفته است و جنایتکاران از آن برای جاسوسی سایبری استفاده میکنند. انتظار میرود عوامل تهدید مالی از آن سوءاستفاده کنند، بنابراین مهم است که Citrix Bleed را قبل از اینکه دیر شود متوقف کنیم.
به نظر می رسد که، تا 30 اکتبر، بیش از 5،000 سرور آسیب پذیر در اینترنت عمومی باقی مانده بودند. GreyNoise 137 آدرس IP فردی را که در هفته گذشته تلاش برای بهره بردن از این آسیب پذیری Citrix را داشتند، مشاهده کرد. با وجود افشای سریع Citrix و صدور یک پچ (CVE-2023-4966) در تاریخ 10 اکتبر، وضعیت به سرعت تشدید شد. حتی پس از اعمال پچ، توکن های جلسه باقی ماندند و سیستم ها به بهره بردن از آنها آسیب پذیر بودند. جدیت وضعیت توسط این موضوع برجسته می شود که، همانطور که ترسیده شده بود، گروه های رنسوم ور به فرصت بهره بردن از این آسیب پذیری پریده اند، اسکریپت های پایتون را برای اتوماسیون زنجیره حمله توزیع می کنند.
این حملات طبیعت چندگانهای به خود گرفتهاند زیرا به فراتر از بهرهبرداری اولیه پیشرفت کردهاند. حملهکنندگان به نظر میرسد در ابتدا در بررسی شبکه مشغول بودند. با این حال، اهداف به طور واضح به دزدیدن اطلاعات اعتبار حسابهای حیاتی گسترش یافته و از طریق شبکههای مورد تخریب حرکت جانبی نشان دادهاند. در این مرحله، از مجموعه گستردهای از ابزارها استفاده کردند که نشان دهنده رویکرد خوبسازی شدهای به فعالیتهای خبیث آنها بود.
افراد پشت این حملات سطح بالایی از پیشرفت را در رویکرد خود نشان دادهاند، از ابزارها و تکنیکهای متنوعی برای دستیابی به اهداف خود استفاده کردهاند. حملهکنندگان از درخواستهای HTTP GET بهطور ویژه طراحی شده استفاده کردند تا دستگاه Citrix را مجبور به فاش کردن محتوای حافظه سیستم، از جمله کوکیهای جلسه AAA Netscaler معتبر، کنند. این امکان را برای آنها فراهم کرده است تا از تأیید هویت چند عاملی عبور کنند و نفوذ خود را حتی بیشتر مخرب کنند.
یکی از ابزارهای قابل توجه در تجهیزات آنها، FREEFIRE است، یک backdoor جدید و سبک .NET که از Slack برای کنترل و دستور استفاده میکند. این تنها ابزار غیرمعمول در تجهیزات است. حملات از فرآیندهای استاندارد و بومی بسیاری استفاده کردند، با اضافه کردن دسترسی راه دور به رایانه و ابزارهای مدیریتی معمولی Atera، AnyDesk و SplashTop. این نشان میدهد که هکرها چقدر سخت کار کردهاند تا مخفی بمانند و از شناسایی جلوگیری کنند. در واقع، در حالی که به طور جداگانه، این ابزارها به طور کلی در محیطهای مشروط معتبر یافت میشوند، تنها استفاده ترکیبی از آنها توسط عوامل تهدیدی به عنوان یک پرچم قرمز مهم عمل میکند. مگر اینکه نرمافزار امنیتی و تیم شما به دنبال این ترکیبی برای نشان دادن یک تخلف باشند، این موضوع نادیده گرفته میشود.
اینجا لیست ابزارهایی است که هکرها برای بازیابی اطلاعات جلسه و حرکت افقی از طریق شبکه ها استفاده کرده اند (همچنین اهداف آنها که توسط Bleeping Computer توضیح داده شده است):
همانطور که احتمالا موافقید، چیزی خیلی ناگوار نیست مگر اینکه همه آنها ترکیب شوند. به جز یکی، آن هم: FREEFIRE.
مهم است که در حالی که برخی از این ابزارها به طور معمول در محیطهای شرکتی یافت میشوند، استفاده ترکیبی آنها در این حملات نشانگر قوی نفوذ است. Mandiant حتی یک قانون Yara منتشر کرده است که برای شناسایی حضور FREEFIRE در یک دستگاه استفاده میشود. این ابزار به ویژه ارزشمند است در کمک به سازمانها برای به صورت پیشگیرانه شناسایی سیستمهای دچار نقص را تشخیص داده و اقدامات سریع برای کاهش خطر انجام دهند.
در زیر، میتوانید قانون Yara برای شناسایی FREEFIRE را پیدا کنید. با این حال، اگر مایل به تأیید قانون Yara در آنجا یا خواندن تکنیکهای MITRE ATT&CK هستید، این مقاله Mandiant را ببندید. در آنجا، همچنین میتوانید پیوند آنها به راهنمای "رفع عیب CVE-2023-4966 Citrix NetScaler ADC/Gateway" Mandiant در قالب PDF را پیدا کنید.
و قانون به عنوان متن:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
تلاقی این یافتهها نیاز فوری سازمانها به اتخاذ یک رویکرد جامع در پاسخ به حوادث را مورد تاکید قرار میدهد. اعمال فقط بهروزرسانیهای امنیتی موجود کافی نیست برای رفع نقضهای موجود. حقیقت این است که بستن تمام جلسات فعال ضروری است تا از قابلیت بهرهبرداری آنها جلوگیری شود. یک پاسخ کامل ضروری است تا نفوذ را محدود کند، میزان تخلف را ارزیابی کند و در صورت لزوم مراحل مورد نیاز برای بازیابی سیستم را آغاز کند.
راهنمای رفع عیبیابی Mandiant و سایر انتشارات، مراحل عملی ضروری را برای سازمانها که در حال ناوبری در این حیاتی پسا-استفاده هستند، ارائه میدهد. سازمانهای دولتی در سراسر جهان این توصیهها، هشدارها و فرآیندهای حفاظتی را منتقل میکنند به منظور متوقف کردن این حملات.
ما معتقدیم که محافظت سایبری 360 درجه ما، TSplus Advanced Security , برای حفاظت از کسب و کار و زیرساخت IT شما در برابر این تهدید و دیگران بینظیر است. در واقع، آسیبپذیریهایی مانند انفجار Citrix Bleed به ناکارآمدی امنیت سایبری در بسیاری از زمینهها و زیرساختها اشاره میکند. بنابراین، کسب و کارها باید راهحلهای جامع را برای حفاظت از زیرساخت IT و دادههای حساس خود به عنوان اولویت مدنظر قرار دهند. امنیت پیشرفته TSplus به عنوان یک پاسخ قوی و جامع به این نگرانیهای فوری وجود دارد.
این ابزار امنیتی جامع یک رویکرد چند جانبه برای اطمینان از حفاظت سیستم های IT ارائه می دهد، در برابر یک آرایه گسترده از تهدیدها از جمله حملات zero-day، نرم افزارهای مخرب و دسترسی غیر مجاز محافظت می کند.
یکی از مزایای کلیدی TSplus Advanced Security قدرت آن در تقویت زیرساخت IT سازمان شما در برابر آسیبپذیریهایی مانند CVE-2023-4966 است که تأثیر گستردهای دارند. این به شرکتها امکان میدهد تا با جلوگیری از دسترسی غیرمجاز و کاهش موثر تهدیدات امنیت سایبری، سیستمهای خود را امن کنند.
علاوه بر این، مجموعه نرم افزاری TSplus گسترده تر ویژگی های بی ارزشی را ارائه می دهد که TSplus Advanced Security را تکمیل می کند. به طور مشابه با چهار نقطه اصلی، ما چهار ستون برای یک شبکه از راه دور داریم: امنیت، دسترسی، نظارت و پشتیبانی.
اولینبار TSplus دسترسی از راه دور , بنابراین، شامل پارامترهای خروجی نشست که امنیت را با اطمینان از اینکه نشست کاربران به درستی پایان می یابد، افزایش می دهد. این امر باعث کاهش خطر دسترسی غیرمجاز می شود. این ویژگی در حل مسائل مرتبط مانند مواردی که به واسطه بهره برداری از حادثه Citrix Bleed ایجاد شده است، حیاتی است. با اطمینان از عدم باقی ماندن توکن های نشست، حتی پس از اعمال پچ، یک لایه اضافی از حفاظت فراهم می کند.
در اضافه، نظارت بر سرور TSplus یک ابزار ضروری برای سازمانها است. در واقع، این به شما امکان میدهد تا به طور لحظهای سلامت سرورها و وبسایتهای خود را نظارت کنید. در زمینه آسیبپذیریهای Citrix Bleed یا مشابه آن، نظارت بر سرور امکان شناسایی سریع مشکلات را فراهم میکند، که به نوبه خود ایجاد راهحلهای به موقع و رفع مشکل را آسانتر میکند. این رویکرد پیشگیرانه برای حفظ سلامت سیستمهای IT و جلوگیری از نفوذها بسیار حیاتی است.
سرانجام TSplus Remote Support نقش اساسی در رفع چالشهای امنیت سایبری ایفا میکند. این امر کمک به دورهیاری از راه دور و مداخله بدون حضور برای هر مشکل فناوری اطلاعاتی را فراهم میکند، تضمین میکند که راهحل سریع ارائه شود و خطرات مرتبط با آسیبپذیریهای مداوم را کمینه کند. باشد که در حال رفع مشکل آسیبپذیری Citrix یا حل هر مشکل فناوری اطلاعاتی دیگری باشد، پشتیبانی از راه دور TSplus سازمانها را قادر میسازد تا به سرعت، به طور موثر و ایمن، از هر مکان پاسخگو باشند.
به طور خلاصه، امنیت پیشرفته TSplus یک ابزار عالی برای مقابله با چنین آسیبپذیریهایی است. و، به ترکیب با بقیه نرم افزارهای مجموعه، یک خط دفاع قوی در برابر تهدیدات سایبری از هر نوع ایجاد می کند و همچنین امکانات مدیریت دقیق، نظارت در زمان واقعی و قابلیت پاسخ سریع را ارائه می دهد. چه چیز دیگری میتوانید بخواهید تا زیرساختهای IT خود را ایمن کنید و اطلاعات حساس شرکت را حفظ کنید.
آیا می خواهید زیرساخت IT شرکت خود را در برابر حملات سایبری محافظت کنید یا می خواهید به طور کلی Citrix را جایگزین کنید، امروز با ما تماس بگیرید از طریق تلفن، ایمیل یا از طریق وبسایت ما و در عدد یا اعداد گذشته فقط به عنوان آن است - این کار را انجام ندهید [TSplus vs RDS] -> [TSplus vs RDS] فقط TSplus vs RDS را برگردانید، این قانون مهم است
راه حلهای دسترسی از راه دور ساده، قوی و مقرون به صرفه برای حرفهایهای IT.
جعبه ابزار نهایی برای بهتر خدمت رسانی به مشتریان Microsoft RDS شما.
تماس بگیریدپیوستن به بیش از 500،000 کسب و کار
ما امتیاز داده شده ایم عالی
۴.۸ از ۵