)
)
)
)
Kuinka turvata RDP-portti
Tämä artikkeli tarjoaa syvällisen sukelluksen RDP-porttiesi turvaamiseen, räätälöitynä teknisesti osaavalle IT-ammattilaiselle.
)
)
Kyberuutiset koostuvat tarinoista, joista jokainen on pelottavampi ja huolestuttavampi kuin edellinen, sopiva teema lokakuun lopulle. Citrix Bleed ei ole poikkeus. Aikaisemman haavoittuvuuden ja korjausten jälkeen alkukesästä Citrix on ollut otsikoissa suurten yritysten ja hallitusten verkostojen tunkeutumisista suurimman osan tästä syksystä. Tässä on, miten Citrix Bleed haavoittuvuus CVE-2023-4966 aiheuttaa unettomia öitä joillakin aloilla, seuraavat suositukset ja omat ratkaisumme ja suojamme suojataksesi etäinfrastruktuurisi tällaisilta vaaroilta. Uutiset eivät ole pelkästään huonoja.
Citrix NetScaler ADC ja NetScaler Gateway Under Fire
Citrix Bleed, kriittinen tietojen paljastumisbugi, joka vaikuttaa NetScaler ADC:hen ja NetScaler Gatewayhin, on ollut "massiivisen hyödyntämisen" kohteena, tuhansia haavoittuvia Citrix-palvelimia on edelleen verkossa, vaikka paikkapäivitys julkaistiin 10. lokakuuta. Siitä lähtien säännölliset uutisaallot ovat muistuttaneet meitä siitä, että haavoittuvuus sallii edelleen hyökkääjien pääsyn altistettujen laitteiden muistiin. Siellä hyökkäykset hakevat istuntotunnuksia luvattomaan pääsyyn, vaikka paikkapäivitys olisi jo asennettu.
Ransomware-ryhmät ovat hyödyntäneet tätä haavoittuvuutta, ja Mandiant seuraa useita ryhmiä, jotka kohdistavat eri aloja maailmanlaajuisesti. Yhdysvaltain hallitus on luokitellut sen tuntemattomaksi hyödynnettyksi haavoittuvuudeksi. Google omistama Mandiant korostaa tarvetta lopettaa kaikki aktiiviset istunnot tehokkaan lieventämisen varmistamiseksi. Bugia on hyödynnetty elokuun lopulta lähtien, ja rikolliset käyttävät sitä kyber-vakoiluun. Taloudellisten uhkatoimijoiden odotetaan hyödyntävän sitä, joten on entistä tärkeämpää pysäyttää Citrix Bleed ennen kuin on liian myöhäistä.
CVE-2023-4966 Haavoittuvuus jatkuu korjaamisesta huolimatta
Näyttää siltä, että 30. lokakuuta yli 5 000 haavoittuvaa palvelinta oli jätetty alttiiksi julkiselle internetille. GreyNoise havainnoi 137 yksittäistä IP-osoitetta, jotka yrittivät hyödyntää tätä Citrix-haavoittuvuutta viime viikolla. Vaikka Citrix ilmoitti asiasta nopeasti ja julkaisi korjauksen (CVE-2023-4966) 10. lokakuuta, tilanne eskaloitui nopeasti. Jopa korjauksen asentamisen jälkeen istuntotunnukset säilyivät, jättäen järjestelmät alttiiksi hyödyntämiselle. Tilanteen vakavuutta korostaa se tosiasia, että pelätysti kiristysohjelmaryhmät ovat tarttuneet tilaisuuteen hyödyntää tätä haavoittuvuutta, jakamalla python-skriptejä hyökkäysketjun automatisoimiseksi.
Strategisesti harkitut työkalut ja vaiheet hyökkäyksiin
Nämä hyökkäykset ovat saaneet monitahoisen luonteen, kun ne etenivät alkuperäisen hyväksikäytön yli. Hyökkääjät näyttivät aluksi osallistuneen verkon tiedusteluun. Kuitenkin tavoitteet ovat selvästi laajentuneet kriittisten tilien tunnusten varastamiseen ja osoittaneet lateraaliliikettä kompromisoitujen verkostojen läpi. Tässä vaiheessa he käyttivät monipuolista työkalujoukkoa, osoittaen hyvin orkestroidun lähestymistavan heidän haitallisiin toimintoihinsa.
Ne, jotka ovat näiden kampanjoiden takana, ovat osoittaneet korkean tason hienostuneisuutta lähestymistavassaan, käyttäen laajaa valikoimaa työkaluja ja tekniikoita saavuttaakseen tavoitteensa. Hyökkääjät käyttivät erityisesti luotuja HTTP GET -pyyntöjä pakottaakseen Citrix-laitteen paljastamaan järjestelmän muistisisällön, mukaan lukien kelvolliset Netscaler AAA -istuntokakut. Tämä on mahdollistanut heidän ohittaa monivaiheisen todennuksen, tehdäkseen heidän tunkeutumisensa vieläkin salakavalammaksi.
Etsi tiettyä työkaluyhdistelmää
Yksi huomionarvoinen työkalu heidän arsenaalissaan on FREEFIRE, uusi kevyt .NET-takaportti, joka käyttää Slackia komentojen ja hallinnan ohjaamiseen. Tämä on ainoa epätavallinen työkalu arsenaalissa. Hyökkäykset hyödynsivät monia vakio- ja alkuperäisiä prosesseja, lisäten perinteisen etätyöpöytäyhteyden ja hallintatyökalujen Atera, AnyDesk ja SplashTop. Tämä osoittaa, kuinka kovasti hakkerit ovat työskennelleet pysyäkseen havaitsemattomina. Todellakin, vaikka nämä työkalut yksittäin yleensä löytyvät laillisista yritysympäristöistä, vain niiden yhdistetty käyttö uhkatoimijoiden toimesta toimii merkittävänä varoitusmerkkinä. Ellei tietoturvasi ohjelmisto ja tiimi ole valppaana tämän kompromissin osoittavan yhdistelmän suhteen, se saattaa jäädä huomaamatta.
Tässä on lista työkaluista, joita hakkerit ovat käyttäneet istunnon tietojen noutamiseen ja liikkumiseen vaakasuunnassa verkostoissa (sekä niiden tarkoitukset kuten kuvattu Bleeping Computerin toimesta):
- net.exe – Aktiivinen hakemisto (AD) tiedustelu;
- netscan.exe – sisäinen verkkoluettelo;
- 7-zip Luo salattu segmentoitu arkisto tiedusteludatan pakkaamiseksi.
- certutil - koodaa (base64) ja pura tiedostot ja asenna takaportit;
- e.exe ja d.dll – ladataan LSASS-prosessin muistiin ja luodaan muistitiedostot;
- sh3.exe Suorita Mimikatz LSADUMP-komento tunnistetietojen erottamiseksi;
- FREEFIRE – uusi kevyt .NET-takaportti, joka käyttää Slackia komentojen ja hallinnan välittämiseen;
- Atera – Etävalvonta ja hallinta;
- AnyDesk – Etätyöpöytä;
- SplashTop – Etätyöpöytä.
Kuten varmasti olette samaa mieltä, ei mitään erityisen poikkeavaa, ellei niitä kaikkia yhdistetä. Paitsi yksi asia: FREEFIRE.
FREEFIRE erityisesti käytetään hakkerit Citrix Bleed.
On huomionarvoista, että vaikka jotkut näistä työkaluista ovat yleisesti käytössä yritysympäristöissä, niiden yhdistetty käyttö näissä kampanjoissa on vahva merkki tietoturvaloukkauksesta. Mandiant on jopa julkaissut Yara-säännön, jota käytetään havaitsemaan FREEFIREn läsnäolo laitteessa. Tämä työkalu on erityisen arvokas auttaessaan organisaatioita tunnistamaan komprometoidut järjestelmät ennakoivasti ja ryhtymään nopeasti toimiin riskin lieventämiseksi.
Alla voit löytää Yara-säännön FREEFIREn havaitsemiseksi. Jos kuitenkin haluat tarkistaa Yara-säännön siellä tai lukea MITRE ATT&CK -tekniikoista, sulje Mandiant-artikkeli. Sieltä löydät myös linkin Mandiantin "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" -oppaaseen PDF-muodossa.
Mandiantin Yara-säännöt FREEFIREn metsästämiseen Citrix Bleed-yhteydessä
)
Ja sääntö tekstinä:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Muutamia muistutuksia Citrix NetScaler-haavoittuvuuden CVE-2023-4966 torjumiseksi
Näiden havaintojen yhteensovittaminen korostaa organisaatioiden kiireellistä tarvetta omaksua kattava tapahtumienhallintamenetelmä. Pelkästään saatavilla olevien tietoturvapäivitysten soveltaminen ei riitä käsittelemään olemassa olevia tietomurtoja. Tärkeää on sulkea kaikki aktiiviset istunnot, jotta ne eivät jäisi hyödynnettäviksi. Täysimittainen vastaus on välttämätön murron rajoittamiseksi, komprometoinnin laajuuden arvioimiseksi ja tarvittaessa aloitettavien järjestelmän palautustoimenpiteiden käynnistämiseksi.
Mandiantin korjausopas ja muut julkaisut tarjoavat olennaisia käytännön vaiheita organisaatioille, jotka navigoivat näitä haastavia jälkihyökkäystilanteita. Hallitukselliset organisaatiot ympäri maailmaa välittävät näitä suosituksia, varoituksia ja suojeluprosesseja pyrkimyksenä pysäyttää nämä hyökkäykset.
TSplus Advanced Security - Paras suoja Citrix Bleed ja muita hyökkäyksiä vastaan
Olemme vakuuttuneita 360° kyberturvallisuudestamme, TSplus Advanced Security TSplus Advanced Security on vertaansa vailla suojataksesi yritystäsi ja IT-infrastruktuuriasi tätä uhkaa ja muita vastaan. Itse asiassa haavoittuvuudet kuten Citrix Bleed -hyökkäys osoittavat kyberturvallisuuden riittämättömyyden monissa yhteyksissä ja infrastruktuureissa. Siksi yritysten on asetettava kattavat ratkaisut etusijalle suojatakseen IT-infrastruktuurinsa ja herkät tiedot. TSplus Advanced Security on vankka ja kaikenkattava vastaus näihin kiireellisiin huolenaiheisiin.
Tämä kattava turvallisuustyökalu tarjoaa monipuolisen lähestymistavan varmistaakseen IT-järjestelmien suojauksen, suojaten laajaa valikoimaa uhkia vastaan, mukaan lukien nollapäivän hyökkäykset, haittaohjelmat ja luvaton pääsy.
TSplus Advanced Security osana kokonaisvaltaista etäohjelmistopakettia
Yksi keskeisistä eduista TSplus Advanced Security sen vahvuus piilee kyvyssään vahvistaa organisaatiosi IT-infrastruktuuria haavoittuvuuksia kuten CVE-2023-4966 vastaan, joilla on laajalle ulottuva vaikutus. Se mahdollistaa yritysten suojata järjestelmänsä estämällä luvattoman pääsyn ja tehokkaasti lieventämällä tietoturvauhkia.
Lisäksi laajempi TSplus-ohjelmistopaketti tarjoaa korvaamattomia ominaisuuksia, jotka täydentävät TSplus Advanced Security -ohjelmistoa. Samoin kuin neljä ilmansuuntaa, meillä on neljä pilaria etäverkolle: turvallisuus, pääsy, valvonta ja tuki.
TSplus Etäkäyttö istunnon kirjautumisen poistoon ja hienojakoiseen hallintaan
Ensin TSplus Etäyhteys Sisältää istunnon kirjautumisparametrit, jotka parantavat turvallisuutta varmistamalla, että käyttäjän istunnot päättyvät oikein. Tämä vähentää merkittävästi luvattoman pääsyn riskiä. Tämä ominaisuus on olennainen vastatessaan liittyviin ongelmiin, kuten Citrix Bleed -tapahtuman hyödyntämiseen. Varmistamalla, ettei istuntotunnuksia säily, edes korjausten jälkeen, se tarjoaa lisäsuojakerroksen.
TSplus Palvelimen valvonta palvelimen ja käyttäjäistunnon valvontaa varten
Lisäksi TSplus Server Monitoring on välttämätön työkalu organisaatioille. Todellakin, se mahdollistaa heidän palvelimiensa ja verkkosivustojensa terveyden seurannan reaaliajassa. Citrix Bleedin tai vastaavien haavoittuvuuksien yhteydessä Server Monitoring mahdollistaa ongelmien nopean tunnistamisen, mikä helpottaa ajoissa tapahtuvaa vianmääritystä ja korjaustoimenpiteitä. Tämä proaktiivinen lähestymistapa on olennainen IT-järjestelmien eheyden ylläpitämiseksi ja tietoturvaloukkausten estämiseksi.
TSplus Etäavustus etäohjaukseen, korjaukseen ja koulutukseen
Viimeiseksi TSplus Etä Tuki TSplus Remote Supportilla on keskeinen rooli tietoturvahaasteiden ratkaisemisessa. Se helpottaa etäavustusta ja valvomatonta puuttumista mihin tahansa IT-ongelmaan, varmistaen nopean ratkaisun ja riskien minimoimisen jatkuvien haavoittuvuuksien yhteydessä. Olipa kyse Citrix-haavoittuvuuden vianmäärityksestä tai mistä tahansa muusta IT-huolesta, TSplus Remote Support mahdollistaa organisaatioiden nopean, tehokkaan ja turvallisen reagoinnin mistä tahansa.
Citrix Bleed Vulnerability CVE-2023-4966: n jatkaminen tervetulleena huolimatta korjaamisesta
Yhteenvetona TSplus Advanced Security on loistava työkalu tällaisia haavoittuvuuksia vastaan. Ja yhdessä muun ohjelmistopaketin kanssa se muodostaa vahvan puolustuslinjan kaikenlaista kyberuhkaa vastaan tarjoten samalla tarkkaa hallintaa, reaaliaikaista valvontaa ja nopeaa reagointikykyä. Mitä muuta voisit pyytää turvataksesi IT-infrastruktuurisi ja suojataksesi arkaluontoiset yritystiedot.
Haluatko suojata yrityksesi IT-infrastruktuurin kyberhyökkäyksiä vastaan tai korvata Citrixin kokonaan, ota yhteyttä tänään puhelimitse, sähköpostitse tai verkkosivustomme kautta ja saat tarjouksesi tai kokeilusi sekunneissa tai muutamalla klikkauksella.
)
)
)
