)
)
)
)
Comment sécuriser le port RDP
Cet article propose une analyse approfondie de la sécurisation de vos ports RDP, adaptée aux professionnels de l'informatique avertis.
)
)
Les actualités cyber sont faites d'histoires chacune plus effrayante et inquiétante que la précédente, un thème approprié pour la fin octobre. Citrix Bleed ne fait pas exception. Après une vulnérabilité précédente et un correctif au début de l'été, Citrix a fait les gros titres la plupart de cet automne avec des nouvelles d'intrusions dans de grands réseaux d'entreprises et gouvernementaux. Voici comment la vulnérabilité Citrix Bleed CVE-2023-4966 cause des nuits blanches dans certains secteurs, les recommandations qui en découlent et nos propres solutions et protections pour protéger votre infrastructure Remote Access contre de tels dangers. Les nouvelles ne sont pas toutes mauvaises.
Citrix NetScaler ADC et NetScaler Gateway sous le feu des critiques
Citrix Bleed, un bug critique de divulgation d'informations affectant NetScaler ADC et NetScaler Gateway, a été sous "exploitation massive", avec des milliers de serveurs Citrix vulnérables toujours en ligne malgré la publication d'un correctif le 10 octobre. Depuis lors, des vagues régulières de nouvelles nous rappellent que la vulnérabilité permet toujours aux attaquants d'accéder à la mémoire des appareils exposés. Là, les attaques extraient des jetons de session pour un accès non autorisé, même une fois le correctif appliqué.
Les gangs de ransomware ont exploité cette vulnérabilité et Mandiant suit plusieurs groupes ciblant divers secteurs à l'échelle mondiale. Le gouvernement américain l'a classée comme une vulnérabilité exploitée inconnue. Mandiant, propriété de Google, souligne la nécessité de terminer toutes les sessions actives pour une atténuation efficace. Le bug a été exploité depuis la fin août, les criminels l'utilisant pour l'espionnage cybernétique. On s'attend à ce que des acteurs de la menace financière l'exploitent, il est donc d'autant plus important d'arrêter Citrix Bleed avant qu'il ne soit trop tard.
Vulnérabilité CVE-2023-4966 en cours malgré les correctifs
Il semble qu'au 30 octobre, plus de 5 000 serveurs vulnérables étaient exposés sur l'internet public. GreyNoise a observé 137 adresses IP individuelles tentant d'exploiter cette vulnérabilité Citrix au cours de la semaine passée. Malgré la divulgation rapide de Citrix et l'émission d'un correctif (CVE-2023-4966) le 10 octobre, la situation s'est rapidement aggravée. Même après l'application du correctif, les jetons de session persistaient, laissant les systèmes vulnérables à l'exploitation. La gravité de la situation est soulignée par le fait que, comme on le craignait, des groupes de ransomware ont saisi l'opportunité d'exploiter cette vulnérabilité, distribuant des scripts python pour automatiser la chaîne d'attaque.
Outils et étapes stratégiquement pensés pour les attaques
Ces attaques ont revêtu une nature multiforme à mesure qu'elles progressaient au-delà de l'exploitation initiale. Les attaquants semblaient initialement engagés dans la reconnaissance du réseau. Pourtant, les objectifs se sont manifestement étendus au vol de données d'identification critiques et ont montré un mouvement latéral à travers les réseaux compromis. Dans cette phase, ils ont employé un ensemble diversifié d'outils, démontrant une approche bien orchestrée de leurs activités malveillantes.
Ceux derrière ces campagnes ont démontré un haut niveau de sophistication dans leur approche, utilisant une large gamme d'outils et de techniques pour atteindre leurs objectifs. Les attaquants ont utilisé des requêtes HTTP GET spécialement conçues pour forcer l'appareil Citrix à révéler le contenu de la mémoire système, y compris les cookies de session Netscaler AAA valides. Cela leur a permis de contourner l'authentification multifactorielle, rendant leur intrusion encore plus insidieuse.
Soyez à l'affût de la combinaison d'outils spécifique
Un outil notable dans leur arsenal est FREEFIRE, un nouveau backdoor léger .NET utilisant Slack pour le commandement et le contrôle. C'est le seul outil inhabituel dans l'arsenal. Les attaques ont exploité de nombreux processus standard et natifs, avec l'ajout des outils de gestion et d'accès à distance courants Atera, AnyDesk et SplashTop. Cela montre à quel point les hackers ont travaillé dur pour rester invisibles à la détection. En effet, alors que ces outils sont généralement trouvés individuellement dans des environnements d'entreprise légitimes, seule leur utilisation combinée par les acteurs de la menace constitue un signal d'alarme significatif. À moins que votre logiciel de sécurité et votre équipe ne surveillent cette combinaison indicative d'une compromission, elle passerait inaperçue.
Voici la liste des outils que les hackers ont utilisés pour récupérer des informations de session et se déplacer horizontalement à travers les réseaux (ainsi que leurs objectifs tels que décrits par Bleeping Computer) :
- net.exe – Reconnaissance Active Directory (AD);
- netscan.exe – énumération du réseau interne
- 7-zip – créer une archive segmentée chiffrée pour compresser les données de reconnaissance;
- certutil – encoder (base64) et décoder des fichiers de données et déployer des portes dérobées
- e.exe et d.dll – charger dans la mémoire du processus LSASS et créer des fichiers de vidage de mémoire;
- sh3.exe – exécutez la commande Mimikatz LSADUMP pour l'extraction des identifiants;
- FREEFIRE – nouveau backdoor léger .NET utilisant Slack pour le commandement et le contrôle
- Atera – Surveillance et gestion à distance
- AnyDesk – Bureau à distance
- SplashTop – Bureau à distance.
Comme vous en conviendrez probablement, rien de bien fâcheux à moins que vous ne les trouviez tous combinés. Sauf un, c'est-à-dire : FREEFIRE.
FREEFIRE en particulier utilisé par les hackers dans Citrix Bleed
Il convient de noter que, bien que certains de ces outils soient couramment utilisés dans les environnements d'entreprise, leur utilisation combinée dans ces campagnes est un indicateur fort d'une violation. Mandiant a même publié une règle Yara utilisée pour détecter la présence de FREEFIRE sur un appareil. Cet outil est particulièrement précieux pour aider les organisations à identifier de manière proactive les systèmes compromis et à prendre des mesures rapides pour atténuer le risque.
Ci-dessous, vous pouvez trouver la règle Yara pour détecter FREEFIRE. Cependant, si vous souhaitez vérifier la règle Yara là-bas ou lire les techniques MITRE ATT&CK, celles-ci ferment l'article de Mandiant. Là, vous pouvez également trouver leur lien vers le guide de remédiation “Citrix NetScaler ADC/Gateway: CVE-2023-4966” de Mandiant en PDF.
Les règles Yara de Mandiant pour traquer FREEFIRE dans le contexte de Citrix Bleed
)
Et la règle en tant que texte :
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Quelques rappels pour se protéger contre la vulnérabilité Citrix NetScaler CVE-2023-4966
La convergence de ces conclusions souligne la nécessité pressante pour les organisations d'adopter une approche globale de réponse aux incidents. Appliquer simplement les mises à jour de sécurité disponibles est insuffisant pour traiter les violations existantes. Le fait qu'il soit essentiel de fermer toutes les sessions actives de peur qu'elles ne restent exploitables ne peut tout simplement pas être suffisamment souligné. Une réponse complète est impérative pour contenir la violation, évaluer l'étendue de la compromission et, si nécessaire, initier les étapes requises pour la restauration du système.
Le guide de remédiation de Mandiant et d'autres publications offrent des étapes pratiques essentielles pour les organisations naviguant dans ces scénarios post-exploitation difficiles. Les organisations gouvernementales du monde entier relaient ces recommandations, avertissements et processus de sauvegarde dans le but de mettre un terme à ces attaques.
TSplus Advanced Security - La meilleure protection contre Citrix Bleed et autres attaques
Nous sommes convaincus de notre protection cyber 360°. TSplus Advanced Security , est inégalé pour protéger votre entreprise et votre infrastructure informatique contre cette menace et d'autres. En effet, des vulnérabilités telles que l'exploit Citrix Bleed soulignent l'insuffisance de la cybersécurité dans trop de contextes et d'infrastructures. Par conséquent, les entreprises doivent prioriser des solutions complètes pour protéger leur infrastructure informatique et leurs données sensibles. TSplus Advanced Security se présente comme une réponse robuste et complète à ces préoccupations pressantes.
Cet outil de sécurité complet offre une approche multifacette pour assurer la protection des systèmes informatiques, en les protégeant contre une large gamme de menaces, y compris les exploits de type zero-day, les logiciels malveillants et les accès non autorisés.
TSplus Advanced Security dans le cadre d'une suite logicielle de télétravail holistique
Un des principaux avantages de TSplus Advanced Security Réside dans sa capacité à renforcer l'infrastructure informatique de votre organisation contre les vulnérabilités telles que CVE-2023-4966, qui ont un impact considérable. Il permet aux entreprises de sécuriser leurs systèmes en empêchant l'accès non autorisé et en atténuant efficacement les menaces en matière de cybersécurité.
De plus, la suite logicielle TSplus plus large offre des fonctionnalités inestimables qui complètent TSplus Advanced Security. De même que les quatre points cardinaux, nous avons quatre piliers pour un réseau à distance : sécurité, accès, surveillance et support.
TSplus Remote Access pour la déconnexion de session et la gestion granulaire
Premièrement TSplus Remote Access , inclut ainsi des paramètres de déconnexion de session qui améliorent la sécurité en garantissant que les sessions des utilisateurs sont correctement terminées. Cela réduit considérablement le risque d'accès non autorisé. Cette fonctionnalité est essentielle pour traiter des problèmes corrélés tels que ceux causés par les exploits de l'incident Citrix Bleed. En s'assurant qu'aucun jeton de session ne persiste, même après l'application de correctifs, elle offre une couche de protection supplémentaire.
Surveillance de serveur et de session utilisateur avec TSplus Server Monitoring
En outre Surveillance du serveur TSplus est un outil indispensable pour les organisations. En effet, il vous permet de surveiller la santé de leurs serveurs et sites web en temps réel. Dans le contexte de Citrix Bleed ou de vulnérabilités similaires, la surveillance des serveurs permet une identification rapide des problèmes, facilitant ainsi le lancement de dépannages et de remédiations en temps opportun. Cette approche proactive est essentielle pour maintenir l'intégrité des systèmes informatiques et prévenir les violations.
TSplus Remote Support pour le contrôle à distance, la réparation et la formation
Enfin TSplus Remote Support joue un rôle crucial dans la résolution des défis de cybersécurité. Il facilite l'assistance à distance et l'intervention sans surveillance pour tout problème informatique, garantissant une résolution rapide et minimisant les risques associés aux vulnérabilités persistantes. Que ce soit pour résoudre une vulnérabilité Citrix ou pour traiter tout autre problème informatique, TSplus Remote Support permet aux organisations de répondre rapidement, efficacement et en toute sécurité, de n'importe où.
En conclusion de la vulnérabilité Citrix Bleed CVE-2023-4966 qui persiste malgré les correctifs
En résumé, TSplus Advanced Security est un excellent outil contre de telles vulnérabilités. Et, en combinaison avec le reste de la suite logicielle, il forme une ligne de défense robuste contre les menaces de cybersécurité de toutes sortes tout en offrant une gestion granulaire, une surveillance en temps réel et des capacités de réponse rapide. Que demander de plus pour sécuriser vos infrastructures informatiques et protéger les données sensibles de l'entreprise.
Que vous souhaitiez protéger l'infrastructure informatique de votre entreprise contre les cyberattaques ou remplacer Citrix dans son ensemble, contactez-nous dès aujourd'hui par téléphone, email ou via notre site web et obtenez votre devis ou essai en quelques secondes ou en quelques clics
)
)
)
