We've detected you might be speaking a different language. Do you want to change to:

فهرست مطالب

اخبار سایبر از داستان‌هایی تشکیل شده است که هر کدام ترسناک‌تر و نگران‌کننده‌تر از قبلی هستند، یک موضوع مناسب برای پایان اکتبر. Citrix Bleed هم استثنا نیست. پس از یک آسیب‌پذیری قبلی و رفع آن در اوایل تابستان، Citrix اکثر این پاییز با اخبار نفوذ به شبکه‌های بزرگ شرکتی و دولتی در صفحه اول رسانه‌ها بوده است. در اینجا توضیح داده شده است که چگونه آسیب‌پذیری Citrix Bleed CVE-2023-4966 شب‌های بی‌خوابی را برای برخی افراد به همراه پیشنهادات و راه‌حل‌های خودمان و محافظت برای محافظت از زیرساخت از راه دور خود در برابر چنین خطراتی ایجاد می‌کند. اخبار همه بد نیست.

Citrix NetScaler ADC و NetScaler Gateway تحت آتش قرار دارند

Citrix Bleed، یک باگ اطلاعات حیاتی که تأثیری بر NetScaler ADC و NetScaler Gateway دارد، تحت "استفاده جمعی" قرار گرفته است، با هزاران سرور آسیب پذیر Citrix هنوز آنلاین است، با وجود انتشار یک پچ در تاریخ 10 اکتبر. از آن زمان، موج‌های منظم اخبار ما را یادآوری کرده‌اند که آسیب‌پذیری هنوز به حمله‌کنندگان اجازه دسترسی به حافظه دستگاه‌های بیرون‌شده را می‌دهد. در آنجا، حملات توکن‌های جلسه را برای دسترسی غیرمجاز استخراج می‌کنند، حتی پس از اعمال پچ.

گروه‌های رنسوم‌وئر از این آسیب‌پذیری سوءاستفاده می‌کنند و Mandiant چند گروهی را که به صورت جهانی به بخش‌های مختلف حمله می‌کنند ردیابی می‌کند. دولت آمریکا آن را به عنوان یک آسیب‌پذیری مورد سوءاستفاده ناشناخته دسته‌بندی کرده است. Mandiant که متعلق به گوگل است، بر جبران تمام نشست‌های فعال برای کاهش موثریت تأکید می‌کند. از اواخر ماه اوت، این باگ مورد سوءاستفاده قرار گرفته است و جنایتکاران از آن برای جاسوسی سایبری استفاده می‌کنند. انتظار می‌رود عوامل تهدید مالی از آن سوءاستفاده کنند، بنابراین مهم است که Citrix Bleed را قبل از اینکه دیر شود متوقف کنیم.

CVE-2023-4966 آسیب‌پذیری در حال ادامه رغم اعمال پچ

به نظر می رسد که، تا 30 اکتبر، بیش از 5،000 سرور آسیب پذیر در اینترنت عمومی باقی مانده بودند. GreyNoise 137 آدرس IP فردی را که در هفته گذشته تلاش برای بهره بردن از این آسیب پذیری Citrix را داشتند، مشاهده کرد. با وجود افشای سریع Citrix و صدور یک پچ (CVE-2023-4966) در تاریخ 10 اکتبر، وضعیت به سرعت تشدید شد. حتی پس از اعمال پچ، توکن های جلسه باقی ماندند و سیستم ها به بهره بردن از آنها آسیب پذیر بودند. جدیت وضعیت توسط این موضوع برجسته می شود که، همانطور که ترسیده شده بود، گروه های رنسوم ور به فرصت بهره بردن از این آسیب پذیری پریده اند، اسکریپت های پایتون را برای اتوماسیون زنجیره حمله توزیع می کنند.

ابزارها و مراحل به دقت استراتژیک برای حملات

این حملات طبیعت چندگانه‌ای به خود گرفته‌اند زیرا به فراتر از بهره‌برداری اولیه پیشرفت کرده‌اند. حمله‌کنندگان به نظر می‌رسد در ابتدا در بررسی شبکه مشغول بودند. با این حال، اهداف به طور واضح به دزدیدن اطلاعات اعتبار حساب‌های حیاتی گسترش یافته و از طریق شبکه‌های مورد تخریب حرکت جانبی نشان داده‌اند. در این مرحله، از مجموعه گسترده‌ای از ابزارها استفاده کردند که نشان دهنده رویکرد خوب‌سازی شده‌ای به فعالیت‌های خبیث آن‌ها بود.

افراد پشت این حملات سطح بالایی از پیشرفت را در رویکرد خود نشان داده‌اند، از ابزارها و تکنیک‌های متنوعی برای دستیابی به اهداف خود استفاده کرده‌اند. حمله‌کنندگان از درخواست‌های HTTP GET به‌طور ویژه طراحی شده استفاده کردند تا دستگاه Citrix را مجبور به فاش کردن محتوای حافظه سیستم، از جمله کوکی‌های جلسه AAA Netscaler معتبر، کنند. این امکان را برای آن‌ها فراهم کرده است تا از تأیید هویت چند عاملی عبور کنند و نفوذ خود را حتی بیشتر مخرب کنند.

ترکیب ابزار خاص را جستجو کنید

یکی از ابزارهای قابل توجه در تجهیزات آن‌ها، FREEFIRE است، یک backdoor جدید و سبک .NET که از Slack برای کنترل و دستور استفاده می‌کند. این تنها ابزار غیرمعمول در تجهیزات است. حملات از فرآیندهای استاندارد و بومی بسیاری استفاده کردند، با اضافه کردن دسترسی راه دور به رایانه و ابزارهای مدیریتی معمولی Atera، AnyDesk و SplashTop. این نشان می‌دهد که هکرها چقدر سخت کار کرده‌اند تا مخفی بمانند و از شناسایی جلوگیری کنند. در واقع، در حالی که به طور جداگانه، این ابزارها به طور کلی در محیط‌های مشروط معتبر یافت می‌شوند، تنها استفاده ترکیبی از آن‌ها توسط عوامل تهدیدی به عنوان یک پرچم قرمز مهم عمل می‌کند. مگر اینکه نرم‌افزار امنیتی و تیم شما به دنبال این ترکیبی برای نشان دادن یک تخلف باشند، این موضوع نادیده گرفته می‌شود.

اینجا لیست ابزارهایی است که هکرها برای بازیابی اطلاعات جلسه و حرکت افقی از طریق شبکه ها استفاده کرده اند (همچنین اهداف آنها که توسط Bleeping Computer توضیح داده شده است):

  • net.exe - تجسس فعالیت دایرکتوری فعال (AD);
  • netscan.exe - شمارش داخلی شبکه;
  • ۷-زیپ - ایجاد یک بایگانی تقسیم شده رمزگذاری شده برای فشرده سازی داده های استطلاعاتی;
  • certutil - رمزگذاری (بیس ۶۴) و رمزگشایی فایل‌های داده و نصب دروازه‌های عقب؛
  • e.exe و d.dll - بارگذاری در حافظه فرآیند LSASS و ایجاد فایل‌های حافظه دامپ;
  • sh3.exe - اجرای دستور Mimikatz LSADUMP برای استخراج اعتبارها;
  • FREEFIRE - رمز عبور سبک جدید .NET با استفاده از اسلک برای دستور و کنترل;
  • Atera - مانیتورینگ و مدیریت از راه دور;
  • AnyDesk – دسکتاپ از راه دور;
  • SplashTop – دسکتاپ از راه دور.

همانطور که احتمالا موافقید، چیزی خیلی ناگوار نیست مگر اینکه همه آن‌ها ترکیب شوند. به جز یکی، آن هم: FREEFIRE.

FREEFIRE به ویژه توسط هکرها در Citrix Bleed استفاده می شود.

مهم است که در حالی که برخی از این ابزارها به طور معمول در محیط‌های شرکتی یافت می‌شوند، استفاده ترکیبی آن‌ها در این حملات نشانگر قوی نفوذ است. Mandiant حتی یک قانون Yara منتشر کرده است که برای شناسایی حضور FREEFIRE در یک دستگاه استفاده می‌شود. این ابزار به ویژه ارزشمند است در کمک به سازمان‌ها برای به صورت پیشگیرانه شناسایی سیستم‌های دچار نقص را تشخیص داده و اقدامات سریع برای کاهش خطر انجام دهند.

در زیر، می‌توانید قانون Yara برای شناسایی FREEFIRE را پیدا کنید. با این حال، اگر مایل به تأیید قانون Yara در آنجا یا خواندن تکنیک‌های MITRE ATT&CK هستید، این مقاله Mandiant را ببندید. در آنجا، همچنین می‌توانید پیوند آن‌ها به راهنمای "رفع عیب CVE-2023-4966 Citrix NetScaler ADC/Gateway" Mandiant در قالب PDF را پیدا کنید.

قوانین Yara Mandiant برای شناسایی FREEFIRE در سیاق Citrix Bleed

و قانون به عنوان متن:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

چند یادآوری برای دفاع در برابر آسیب‌پذیری Citrix NetScaler CVE-2023-4966

تلاقی این یافته‌ها نیاز فوری سازمان‌ها به اتخاذ یک رویکرد جامع در پاسخ به حوادث را مورد تاکید قرار می‌دهد. اعمال فقط به‌روزرسانی‌های امنیتی موجود کافی نیست برای رفع نقض‌های موجود. حقیقت این است که بستن تمام جلسات فعال ضروری است تا از قابلیت بهره‌برداری آن‌ها جلوگیری شود. یک پاسخ کامل ضروری است تا نفوذ را محدود کند، میزان تخلف را ارزیابی کند و در صورت لزوم مراحل مورد نیاز برای بازیابی سیستم را آغاز کند.

راهنمای رفع عیب‌یابی Mandiant و سایر انتشارات، مراحل عملی ضروری را برای سازمان‌ها که در حال ناوبری در این حیاتی پسا-استفاده هستند، ارائه می‌دهد. سازمان‌های دولتی در سراسر جهان این توصیه‌ها، هشدارها و فرآیندهای حفاظتی را منتقل می‌کنند به منظور متوقف کردن این حملات.

TSplus Advanced Security - بهترین حفاظت در برابر Citrix Bleed و حملات دیگر

ما معتقدیم که محافظت سایبری 360 درجه ما، TSplus Advanced Security , برای حفاظت از کسب و کار و زیرساخت IT شما در برابر این تهدید و دیگران بی‌نظیر است. در واقع، آسیب‌پذیری‌هایی مانند انفجار Citrix Bleed به ناکارآمدی امنیت سایبری در بسیاری از زمینه‌ها و زیرساخت‌ها اشاره می‌کند. بنابراین، کسب و کارها باید راه‌حل‌های جامع را برای حفاظت از زیرساخت IT و داده‌های حساس خود به عنوان اولویت مدنظر قرار دهند. امنیت پیشرفته TSplus به عنوان یک پاسخ قوی و جامع به این نگرانی‌های فوری وجود دارد.

این ابزار امنیتی جامع یک رویکرد چند جانبه برای اطمینان از حفاظت سیستم های IT ارائه می دهد، در برابر یک آرایه گسترده از تهدیدها از جمله حملات zero-day، نرم افزارهای مخرب و دسترسی غیر مجاز محافظت می کند.


TSplus امنیت پیشرفته به عنوان بخشی از یک مجموعه نرم افزاری از راه دور holistic

یکی از مزایای کلیدی TSplus Advanced Security قدرت آن در تقویت زیرساخت IT سازمان شما در برابر آسیب‌پذیری‌هایی مانند CVE-2023-4966 است که تأثیر گسترده‌ای دارند. این به شرکت‌ها امکان می‌دهد تا با جلوگیری از دسترسی غیرمجاز و کاهش موثر تهدیدات امنیت سایبری، سیستم‌های خود را امن کنند.

علاوه بر این، مجموعه نرم افزاری TSplus گسترده تر ویژگی های بی ارزشی را ارائه می دهد که TSplus Advanced Security را تکمیل می کند. به طور مشابه با چهار نقطه اصلی، ما چهار ستون برای یک شبکه از راه دور داریم: امنیت، دسترسی، نظارت و پشتیبانی.

TSplus دسترسی از راه دور برای خروج از جلسه و مدیریت دقیق

اولین‌بار TSplus دسترسی از راه دور , بنابراین، شامل پارامترهای خروجی نشست که امنیت را با اطمینان از اینکه نشست کاربران به درستی پایان می یابد، افزایش می دهد. این امر باعث کاهش خطر دسترسی غیرمجاز می شود. این ویژگی در حل مسائل مرتبط مانند مواردی که به واسطه بهره برداری از حادثه Citrix Bleed ایجاد شده است، حیاتی است. با اطمینان از عدم باقی ماندن توکن های نشست، حتی پس از اعمال پچ، یک لایه اضافی از حفاظت فراهم می کند.

TSplus نظارت بر سرور برای نظارت بر سرور و جلسات کاربری

در اضافه، نظارت بر سرور TSplus یک ابزار ضروری برای سازمان‌ها است. در واقع، این به شما امکان می‌دهد تا به طور لحظه‌ای سلامت سرورها و وب‌سایت‌های خود را نظارت کنید. در زمینه آسیب‌پذیری‌های Citrix Bleed یا مشابه آن، نظارت بر سرور امکان شناسایی سریع مشکلات را فراهم می‌کند، که به نوبه خود ایجاد راه‌حل‌های به موقع و رفع مشکل را آسان‌تر می‌کند. این رویکرد پیشگیرانه برای حفظ سلامت سیستم‌های IT و جلوگیری از نفوذها بسیار حیاتی است.

TSplus پشتیبانی از راه دور برای کنترل از دور، تعمیر و آموزش

سرانجام TSplus Remote Support نقش اساسی در رفع چالش‌های امنیت سایبری ایفا می‌کند. این امر کمک به دوره‌یاری از راه دور و مداخله بدون حضور برای هر مشکل فناوری اطلاعاتی را فراهم می‌کند، تضمین می‌کند که راه‌حل سریع ارائه شود و خطرات مرتبط با آسیب‌پذیری‌های مداوم را کمینه کند. باشد که در حال رفع مشکل آسیب‌پذیری Citrix یا حل هر مشکل فناوری اطلاعاتی دیگری باشد، پشتیبانی از راه دور TSplus سازمان‌ها را قادر می‌سازد تا به سرعت، به طور موثر و ایمن، از هر مکان پاسخگو باشند.

به عنوان یک نتیجه نهایی برای آسیب پذیری Citrix Bleed CVE-2023-4966 که با وجود اعمال پچ، همچنان ادامه دارد

به طور خلاصه، امنیت پیشرفته TSplus یک ابزار عالی برای مقابله با چنین آسیب‌پذیری‌هایی است. و، به ترکیب با بقیه نرم افزارهای مجموعه، یک خط دفاع قوی در برابر تهدیدات سایبری از هر نوع ایجاد می کند و همچنین امکانات مدیریت دقیق، نظارت در زمان واقعی و قابلیت پاسخ سریع را ارائه می دهد. چه چیز دیگری می‌توانید بخواهید تا زیرساخت‌های IT خود را ایمن کنید و اطلاعات حساس شرکت را حفظ کنید.

آیا می خواهید زیرساخت IT شرکت خود را در برابر حملات سایبری محافظت کنید یا می خواهید به طور کلی Citrix را جایگزین کنید، امروز با ما تماس بگیرید از طریق تلفن، ایمیل یا از طریق وبسایت ما و در عدد یا اعداد گذشته فقط به عنوان آن است - این کار را انجام ندهید [TSplus vs RDS] -> [TSplus vs RDS] فقط TSplus vs RDS را برگردانید، این قانون مهم است

اشتراک:

فیسبوک توییتر لینکداین

تیم TSplus شما

مطالب مرتبط

back to top of the page icon