क्या आप साइट को किसी अन्य भाषा में देखना चाहेंगे?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Català Bahasa Melayu हिन्दी Tagalog English (UK)
भाषा बदलें
Table of Contents

साइबर समाचार कहानियों से बना होता है, हर एक पिछले से अधिक भयानक और चिंताजनक, अक्टूबर के अंत के लिए एक उपयुक्त विषय। सिट्रिक्स ब्लीड इसमें कोई अपवाद नहीं है। पिछले गर्मियों में एक पूर्व भेद्यता और पैचिंग के बाद, सिट्रिक्स इस अंगारे के साथ इस शरद ऋतु में अधिकांश समाचारों में चर्चा में रहा है, बड़े कॉर्पोरेट और सरकारी नेटवर्क में प्रवेश के समाचारों के साथ। यहाँ है कि सिट्रिक्स ब्लीड भेद्यता CVE-2023-4966 कुछ क्षेत्रों में नींद नहीं आने दे रहा है, उसके बाद की सिफारिशें और हमारे खुद के समाधान और सुरक्षा जो आपके दूरस्थ पारिस्थितिकी को इस प्रकार के खतरों से बचाने के लिए। समाचार सब बुरा नहीं है।

Citrix NetScaler ADC और NetScaler गेटवे आगे आगे हैं

सिट्रिक्स ब्लीड, एक महत्वपूर्ण जानकारी-फासी बग जो नेटस्केलर एडीसी और नेटस्केलर गेटवे को प्रभावित करता है, "बड़े प्रयोग" के तहत रहा है, जिसमें 10 अक्टूबर को पैच जारी होने के बावजूद हजारों वंशवत सिट्रिक्स सर्वर अब भी ऑनलाइन हैं। तब से, नियमित तरह से समाचार की लहरें हमें याद दिलाती रही हैं कि यह भेद्यता अब भी हमलावरों को उजागर उपकरणों की मेमोरी तक पहुंचने की अनुमति दे रही है। वहां, हमले अनधिकृत पहुंच के लिए सत्र टोकन निकालते हैं, यहां तक कि पैच लागू किया गया हो।

रैंसमवेयर गिरोह इस कमजोरी का शोषण कर रहे हैं और मैंडिएंट विभिन्न क्षेत्रों को लक्षित करने वाले कई समूहों का ट्रैक कर रहा है। संयुक्त राज्य सरकार ने इसे एक अज्ञात शोषित कमजोरी के रूप में वर्गीकृत किया है। गूगल के स्वामित्व वाली मैंडिएंट ने प्रभावी समाधान के लिए सभी सक्रिय सत्रों को समाप्त करने की आवश्यकता पर जोर दिया है। इस बग का शोषण अगस्त के अंत से हो रहा है, जिसे अपराधियों ने साइबर जासूसी के लिए उपयोग किया है। वित्तीय धमकी अभिनेता का शोषण करने की उम्मीद है, इसलिए सीट्रिक्स ब्लीड को बंद करना ज्यादा महत्वपूर्ण है, जिससे यह बहुत देर न हो।

CVE-2023-4966 सुरक्षा दोष पैचिंग के बावजूद जारी है

यह लगता है कि, 30 अक्टूबर तक, सार्वजनिक इंटरनेट पर 5,000 से अधिक वंशवादी सर्वर अनावरण हो गए थे। GreyNoise ने पिछले सप्ताह में इस Citrix कमजोरी का शिकार होने वाले 137 व्यक्तिगत आईपी पतों का अनुसरण किया। Citrix ने 10 अक्टूबर को एक पैच (CVE-2023-4966) जारी करने के बाद भी, स्थिति तेजी से बढ़ गई। पैच लागू करने के बाद भी, सत्र टोकन बने रहे, जिससे सिस्टम उत्पीड़न के लिए वंशवादी हो गए। स्थिति की गंभीरता को इस तथ्य से जोर दिया जाता है कि, जैसा कि डरा गया था, रैंसमवेयर दलों ने इस कमजोरी का शिकार होने का मौका पकड़ लिया है, हमले श्रृंखला को स्वचालित करने के लिए पायथन स्क्रिप्ट वितरित कर रहे हैं।

आक्रमणों के लिए रणनीतिक रूप से सोची गई उपकरण और कदम।

ये हमले एक बहुपक्षीय स्वरूप धारण कर चुके हैं जैसे ही वे प्रारंभिक शोषण से आगे बढ़ गए। हमलावरों का लगता है कि वे पहले नेटवर्क की जासूसी में लगे थे। फिर भी, उद्देश्य स्पष्ट रूप से महत्वपूर्ण खाता प्रमाणपत्रों की चोरी तक बढ़ गए और संविचित नेटवर्क के माध्यम से लटकते हुए चले गए। इस चरण में, उन्होंने एक विविध सेट के उपकरण का उपयोग किया, जो उनकी दुर्भाग्यपूर्ण गतिविधियों के लिए एक अच्छी तरह से संगठित दृष्टिकोण का प्रदर्शन करते हैं।

इन अभियानों के पीछे वे लोग हाई स्तर की परिपक्वता दिखा चुके हैं, अपने लक्ष्य हासिल करने के लिए विभिन्न उपकरणों और तकनीकों का व्यापक उपयोग कर रहे हैं। हमलावरों ने विशेष रूप से तैयार किए गए HTTP GET अनुरोधों का उपयोग करके सिट्रिक्स एप्लायंस को प्रणाली मेमोरी सामग्री प्रकट करने के लिए किया। इसके माध्यम से उन्हें मल्टीफैक्टर प्रमाणीकरण को छलकरने की अनुमति मिल रही थी, जिससे उनका अतिवादी प्रवेश भी और अधिक अनाहुत बन गया।

विशेष उपकरण संयोजन के लिए देखें

उनके आर्सेनल में एक प्रमुख उपकरण है FREEFIRE, एक नवीन हल्के .NET बैकडोर जो कमांड और नियंत्रण के लिए Slack का उपयोग करता है। यह आर्सेनल में एकमात्र असामान्य उपकरण है। हमलों ने कई मानक और स्थानीय प्रक्रियाओं का उपयोग किया, जिसमें रिमोट डेस्कटॉप एक्सेस और प्रबंधन उपकरण Atera, AnyDesk और SplashTop शामिल हैं। यह दिखाता है कि हैकर्स ने डिटेक्शन से अदृश्य रहने के लिए कितनी मेहनत की है। वास्तव में, जबकि व्यक्तिगत रूप से, ये उपकरण सामान्यत: विधायी उद्यमिक परिवेशों में पाए जाते हैं, तो खतरे कारकों द्वारा इनके संयुक्त डिप्लॉयमेंट केवल एक महत्वपूर्ण लाल झंडा के रूप में काम करता है। जब तक आपका सुरक्षा सॉफ़्टवेयर और टीम इस संयोजन की खोज कर रहे हैं जो किसी संकट का सूचक है, तब तक यह अनदेखा रह जाएगा।

हैकर्स ने सत्र सूचना प्राप्त करने और नेटवर्क के माध्यम से साइडवेजिकल चलने के लिए उपयोग किए जा रहे उपकरणों की सूची यहाँ है (जैसा कि Bleeping Computer द्वारा वर्णित किया गया है):

  • net.exe – सक्रिय निर्देशिका (एडी) अन्वेषण;
  • netscan.exe - आंतरिक नेटवर्क जांच;
  • 7-ज़िप - एक एन्क्रिप्टेड सेगमेंटेड आर्काइव बनाएं जिसमें जासूसी डेटा को संक्षिप्त किया जा सके।
  • certutil - डेटा फ़ाइलों को एन्कोड (बेस64) और डिकोड करें और बैकडोर डिप्लॉय करें;
  • e.exe और d.dll - LSASS प्रक्रिया मेमोरी में लोड करें और मेमोरी डंप फ़ाइलें बनाएं;
  • sh3.exe - Mimikatz LSADUMP कमांड चलाएं ताकि क्रेडेंशियल निकाल सकें;
  • फ्रीफायर – नवीन हल्का .NET बैकडोर जो स्लैक का उपयोग करता है आदेश और नियंत्रण के लिए;
  • Atera - दूरस्थ मॉनिटरिंग और प्रबंधन;
  • AnyDesk - रिमोट डेस्कटॉप;
  • स्प्लैशटॉप - दूरस्थ डेस्कटॉप।

जैसा कि आप संभावित रूप से सहमत हैं, कुछ भी अत्यधिक असामान्य नहीं है जब तक आप उन सभी को मिलकर नहीं ढूंढते। एक को छोड़कर, वह है: फ्रीफायर।

FREEFIRE विशेष रूप से Citrix Bleed में हैकर्स द्वारा उपयोग किया जाता है।

यह ध्यान देने योग्य है कि जबकि इन उपकरणों में से कुछ उपकरण व्यापार परिवेशों में सामान्य रूप से पाए जाते हैं, तो इन अभियानों में इनके संयुक्त उपयोग का एक मजबूत संकेतक है कि एक उल्लंघन हुआ है। Mandiant ने यहां तक कि एक Yara नियम जारी किया है जिसका उपयोग एक उपकरण पर FREEFIRE की मौजूदगी का पता लगाने के लिए किया जाता है। यह उपकरण संगठनों को सक्रिय रूप से उलझे हुए सिस्टमों की पहचान करने और जोखिम को कम करने के लिए त्वरित कार्रवाई लेने में विशेष रूप से मूल्यवान है।

नीचे, आप FREEFIRE का पता लगाने के लिए Yara नियम पा सकते हैं। फिर भी, यदि आप वहाँ Yara नियम की पुष्टि करना या MITRE ATT&CK तकनीकों को पढ़ना चाहते हैं, तो ये Mandiant लेख को बंद करें। वहाँ, आप Mandiant के "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" गाइड के PDF में उनका लिंक भी पा सकते हैं।

Mandiant के यारा नियम Citrix Bleed संदर्भ में FREEFIRE को खोजने के लिए।

और नियम के रूप में टेक्स्ट: और नियम के रूप में

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ??
?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them

कुछ यादादाश्त बनाए रखें Citrix NetScaler संवर्धन CVE-2023-4966 को दूर करने के लिए

इन खोजों का संगम संगठनों को एक समग्र घटना प्रतिक्रिया दृष्टिकोण अपनाने की तत्काल आवश्यकता को जोर देता है। उपलब्ध सुरक्षा अपडेट लागू करना मौजूदा उल्लंघनों का समाधान करने में अपर्याप्त है। यह तथ्य कि सभी सक्रिय सत्रों को बंद करना आवश्यक है ताकि वे उपयोगी रहें, इसे सराहनीय नहीं किया जा सकता है। एक पूरी तरह से विकसित प्रतिक्रिया उल्लंघन को संयंत्र को संभालने, संक्रमण की व्याप्ति का मूल्यांकन करने और जरूरत पड़ने पर प्रणाली पुनर्स्थापन के लिए आवश्यक कदम आरंभ करने के लिए अनिवार्य है।

Mandiant के उपचार मार्गदर्शिका और अन्य प्रकाशन संगठनों के लिए आवश्यक व्यावहारिक कदम प्रदान करते हैं जो इन चुनौतीपूर्ण पोस्ट-उत्पीड़न स्थितियों का समानांतरण कर रहे हैं। सरकारी संगठन वैश्विक रूप से इन सिफारिशों, चेतावनियों और सुरक्षा प्रक्रियाओं को आगे बढ़ाने के लिए इन आक्रमणों को रोकने का प्रयास कर रहे हैं।

TSplus उन्नत सुरक्षा - सिट्रिक्स ब्लीड और अन्य हमलों के खिलाफ सर्वश्रेष्ठ सुरक्षा।

हमे यकीन है कि हमारा 360° साइबर सुरक्षा, TSplus उन्नत सुरक्षा TSplus Advanced Security, इस खतरे और अन्य खतरों से अपने व्यापार और आईटी ढांचे की सुरक्षा के लिए अद्वितीय है। वास्तव में, साइट्रिक्स ब्लीड एक्सप्लॉइट जैसी सुरक्षा कमियों ने बहुत से संदर्भों और ढांचों में साइबर सुरक्षा की अपर्याप्तता का संकेत दिया है। इसलिए, व्यापारों को अपने आईटी ढांचे और संवेदनशील डेटा की रक्षा के लिए व्यापक समाधानों को प्राथमिकता देनी चाहिए। TSplus Advanced Security इन तत्वावधानों के लिए मजबूत और सम्पूर्ण उत्तर है।

यह व्यापक सुरक्षा उपकरण आईटी सिस्टम की सुरक्षा सुनिश्चित करने के लिए एक बहुपक्षीय दृष्टिकोण प्रदान करता है, जिसमें जीरो-डे उत्पादन, मैलवेयर और अनधिकृत पहुंच जैसे विभिन्न खतरों के खिलाफ सुरक्षा है।


TSplus एडवांस्ड सुरक्षा एक पूर्णतावादी रिमोट सॉफ़्टवेयर स्वीट का हिस्सा है।

एक की प्रमुख लाभों में से एक TSplus उन्नत सुरक्षा इसकी विशेषता इसमें है कि यह आपके संगठन की आईटी बुनियाद को CVE-2023-4966 जैसी कमजोरियों के खिलाफ मजबूत करने में सक्षम है, जिनका दूर-तक पहुंच होता है। यह व्यापारों को अनधिकृत पहुंच को रोककर और साइबर सुरक्षा खतरों को प्रभावी रूप से कम करके उनके सिस्टमों को सुरक्षित करने में सक्षम बनाता है।

इसके अतिरिक्त, TSplus सॉफ़्टवेयर सुइट व्यापक सुविधाएं प्रदान करता है जो TSplus एडवांस्ड सुरक्षा को पूरक है। रिमोट नेटवर्क के लिए हमारे चार स्तंभ हैं: सुरक्षा, एक्सेस, मॉनिटरिंग और समर्थन।

TSplus रिमोट एक्सेस सत्र लॉगऑफ और ग्रैनुलर प्रबंधन के लिए

पहले, TSplus Remote Access इसमें सत्र समाप्ति पैरामाउंट सुनिश्चित करने के द्वारा सुरक्षा को बढ़ावा देने वाले सत्र लॉगऑफ पैरामीटर शामिल हैं। इसके महत्वपूर्ण होने से, अनधिकृत पहुंच के जोखिम को कम किया जाता है। यह सुनिश्चित करने के द्वारा कि कोई सत्र टोकन बना रहता है, यहां तक कि पैचिंग के बाद भी, यह एक अतिरिक्त सुरक्षा स्तर प्रदान करता है।

TSplus सर्वर मॉनिटरिंग सर्वर और उपयोगकर्ता सत्र निगरानी के लिए

अतिरिक्त में TSplus सर्वर मॉनिटरिंग संगठनों के लिए एक अनिवार्य उपकरण है। वास्तव में, यह उन्हें अपने सर्वरों और वेबसाइटों की स्वास्थ्य का निगरानी करने की सुविधा प्रदान करता है। सिट्रिक्स ब्लीड या समान सुरक्षा दोषों के संदर्भ में, सर्वर मॉनिटरिंग इस्सुओं की त्वरित पहचान की अनुमति देता है, जिससे समस्याओं को समय पर सुलझाना और सुधारना आसान हो जाता है। यह सक्रिय दृष्टिकोण आईटी सिस्टम की अखंडता बनाए रखने और उल्लंघनों से बचाव के लिए अत्यावश्यक है।

TSplus दूरस्थ नियंत्रण, सुधार और प्रशिक्षण के लिए रिमोट समर्थन

अंत में TSplus रिमोट सपोर्ट एक महत्वपूर्ण भूमिका निभाता है जो साइबर सुरक्षा चुनौतियों का सामना करने में। यह किसी भी आईटी समस्या के लिए दूरस्थ सहायता और अनदेखी हस्तक्षेप को सुविधाजनक बनाता है, जिससे त्वरित समाधान सुनिश्चित होता है और चल रही जोखिमों को कम करता है। क्या किसी Citrix जोखिम को ठीक करने या किसी अन्य आईटी समस्या का समाधान करने के लिए हो, TSplus रिमोट समर्थन संगठनों को किसी भी स्थान से त्वरित, प्रभावी और सुरक्षित तरीके से प्रतिक्रिया देने की शक्ति प्रदान करता है।

Citrix Bleed सुरक्षा दोष CVE-2023-4966 के निष्कर्ष के रूप में पैचिंग के बावजूद अपने स्वागत को बढ़ाने के लिए अपनी अवस्था में।

सारांश में, TSplus Advanced Security ऐसी संक्रमणों के खिलाफ एक महान उपकरण है। और, सॉफ़्टवेयर स्यूट के बाकी साथ में, यह सभी प्रकार के सायबर सुरक्षा खतरों के खिलाफ मजबूत रक्षा रेखा बनाता है जैसे कि ग्रैनुलर प्रबंधन, वास्तविक समय मॉनिटरिंग और त्वरित प्रतिक्रिया क्षमताएँ प्रदान करता है। अपनी आईटी ढांचे को सुरक्षित रखने और संवेदनशील कंपनी डेटा की रक्षा के लिए आप क्या और मांग सकते हैं।

क्या आप अपनी कंपनी की आईटी बुनियाद को साइबर हमलों से बचाना चाहते हैं या पूरी तरह से Citrix को बदलना चाहते हैं, आज ही हमसे फोन, ईमेल या हमारी वेबसाइट के माध्यम से संपर्क करें। और अपनी कोट या परीक्षण कुछ सेकंड में या कुछ क्लिक में प्राप्त करें।

शेयर:

Facebook Twitter लिंक्डइन

आपकी TSplus टीम

संबंधित पोस्ट

TSplus Remote Desktop Access - Advanced Security Software

डिजिटल रक्षा को बढ़ाना: एंडपॉइंट सुरक्षा क्या है?

एंडपॉइंट सुरक्षा क्या है? यह लेख निर्णय लेने वालों और आईटी एजेंटों को उनके साइबर सुरक्षा उपायों को बढ़ाने के लिए सशक्त बनाने का लक्ष्य रखता है, जो एंडपॉइंट्स को सुरक्षित करने, उच्च परिचालन उत्पादकता सुनिश्चित करने और महत्वपूर्ण डेटा संपत्तियों की सुरक्षा के मामलों में है।

लेख पढ़ें →
TSplus Remote Desktop Access - Advanced Security Software

Ransomwares से RDP को सुरक्षित कैसे करें

यह लेख RDP को रैनसमवेयर से सुरक्षित करने के तकनीकी पहलुओं में गहराई से जाता है, यह सुनिश्चित करते हुए कि आईटी पेशेवर अपने नेटवर्क को इन खतरों से बचा सकें।

लेख पढ़ें →
back to top of the page icon