We've detected you might be speaking a different language. Do you want to change to:

Table of Contents

साइबर समाचार कहानियों से बना होता है, हर एक पिछले से अधिक भयानक और चिंताजनक, अक्टूबर के अंत के लिए एक उपयुक्त विषय। सिट्रिक्स ब्लीड इसमें कोई अपवाद नहीं है। पिछले गर्मियों में एक पूर्व भेद्यता और पैचिंग के बाद, सिट्रिक्स इस अंगारे के साथ इस शरद ऋतु में अधिकांश समाचारों में चर्चा में रहा है, बड़े कॉर्पोरेट और सरकारी नेटवर्क में प्रवेश के समाचारों के साथ। यहाँ है कि सिट्रिक्स ब्लीड भेद्यता CVE-2023-4966 कुछ क्षेत्रों में नींद नहीं आने दे रहा है, उसके बाद की सिफारिशें और हमारे खुद के समाधान और सुरक्षा जो आपके दूरस्थ पारिस्थितिकी को इस प्रकार के खतरों से बचाने के लिए। समाचार सब बुरा नहीं है।

Citrix NetScaler ADC और NetScaler गेटवे आगे आगे हैं

सिट्रिक्स ब्लीड, एक महत्वपूर्ण जानकारी-फासी बग जो नेटस्केलर एडीसी और नेटस्केलर गेटवे को प्रभावित करता है, "बड़े प्रयोग" के तहत रहा है, जिसमें 10 अक्टूबर को पैच जारी होने के बावजूद हजारों वंशवत सिट्रिक्स सर्वर अब भी ऑनलाइन हैं। तब से, नियमित तरह से समाचार की लहरें हमें याद दिलाती रही हैं कि यह भेद्यता अब भी हमलावरों को उजागर उपकरणों की मेमोरी तक पहुंचने की अनुमति दे रही है। वहां, हमले अनधिकृत पहुंच के लिए सत्र टोकन निकालते हैं, यहां तक कि पैच लागू किया गया हो।

रैंसमवेयर गिरोह इस कमजोरी का शोषण कर रहे हैं और मैंडिएंट विभिन्न क्षेत्रों को लक्षित करने वाले कई समूहों का ट्रैक कर रहा है। संयुक्त राज्य सरकार ने इसे एक अज्ञात शोषित कमजोरी के रूप में वर्गीकृत किया है। गूगल के स्वामित्व वाली मैंडिएंट ने प्रभावी समाधान के लिए सभी सक्रिय सत्रों को समाप्त करने की आवश्यकता पर जोर दिया है। इस बग का शोषण अगस्त के अंत से हो रहा है, जिसे अपराधियों ने साइबर जासूसी के लिए उपयोग किया है। वित्तीय धमकी अभिनेता का शोषण करने की उम्मीद है, इसलिए सीट्रिक्स ब्लीड को बंद करना ज्यादा महत्वपूर्ण है, जिससे यह बहुत देर न हो।

CVE-2023-4966 सुरक्षा दोष पैचिंग के बावजूद जारी है

यह लगता है कि, 30 अक्टूबर तक, सार्वजनिक इंटरनेट पर 5,000 से अधिक वंशवादी सर्वर अनावरण हो गए थे। GreyNoise ने पिछले सप्ताह में इस Citrix कमजोरी का शिकार होने वाले 137 व्यक्तिगत आईपी पतों का अनुसरण किया। Citrix ने 10 अक्टूबर को एक पैच (CVE-2023-4966) जारी करने के बाद भी, स्थिति तेजी से बढ़ गई। पैच लागू करने के बाद भी, सत्र टोकन बने रहे, जिससे सिस्टम उत्पीड़न के लिए वंशवादी हो गए। स्थिति की गंभीरता को इस तथ्य से जोर दिया जाता है कि, जैसा कि डरा गया था, रैंसमवेयर दलों ने इस कमजोरी का शिकार होने का मौका पकड़ लिया है, हमले श्रृंखला को स्वचालित करने के लिए पायथन स्क्रिप्ट वितरित कर रहे हैं।

आक्रमणों के लिए रणनीतिक रूप से सोची गई उपकरण और कदम।

ये हमले एक बहुपक्षीय स्वरूप धारण कर चुके हैं जैसे ही वे प्रारंभिक शोषण से आगे बढ़ गए। हमलावरों का लगता है कि वे पहले नेटवर्क की जासूसी में लगे थे। फिर भी, उद्देश्य स्पष्ट रूप से महत्वपूर्ण खाता प्रमाणपत्रों की चोरी तक बढ़ गए और संविचित नेटवर्क के माध्यम से लटकते हुए चले गए। इस चरण में, उन्होंने एक विविध सेट के उपकरण का उपयोग किया, जो उनकी दुर्भाग्यपूर्ण गतिविधियों के लिए एक अच्छी तरह से संगठित दृष्टिकोण का प्रदर्शन करते हैं।

इन अभियानों के पीछे वे लोग हाई स्तर की परिपक्वता दिखा चुके हैं, अपने लक्ष्य हासिल करने के लिए विभिन्न उपकरणों और तकनीकों का व्यापक उपयोग कर रहे हैं। हमलावरों ने विशेष रूप से तैयार किए गए HTTP GET अनुरोधों का उपयोग करके सिट्रिक्स एप्लायंस को प्रणाली मेमोरी सामग्री प्रकट करने के लिए किया। इसके माध्यम से उन्हें मल्टीफैक्टर प्रमाणीकरण को छलकरने की अनुमति मिल रही थी, जिससे उनका अतिवादी प्रवेश भी और अधिक अनाहुत बन गया।

विशेष उपकरण संयोजन के लिए देखें

उनके आर्सेनल में एक प्रमुख उपकरण है FREEFIRE, एक नवीन हल्के .NET बैकडोर जो कमांड और नियंत्रण के लिए Slack का उपयोग करता है। यह आर्सेनल में एकमात्र असामान्य उपकरण है। हमलों ने कई मानक और स्थानीय प्रक्रियाओं का उपयोग किया, जिसमें रिमोट डेस्कटॉप एक्सेस और प्रबंधन उपकरण Atera, AnyDesk और SplashTop शामिल हैं। यह दिखाता है कि हैकर्स ने डिटेक्शन से अदृश्य रहने के लिए कितनी मेहनत की है। वास्तव में, जबकि व्यक्तिगत रूप से, ये उपकरण सामान्यत: विधायी उद्यमिक परिवेशों में पाए जाते हैं, तो खतरे कारकों द्वारा इनके संयुक्त डिप्लॉयमेंट केवल एक महत्वपूर्ण लाल झंडा के रूप में काम करता है। जब तक आपका सुरक्षा सॉफ़्टवेयर और टीम इस संयोजन की खोज कर रहे हैं जो किसी संकट का सूचक है, तब तक यह अनदेखा रह जाएगा।

हैकर्स ने सत्र सूचना प्राप्त करने और नेटवर्क के माध्यम से साइडवेजिकल चलने के लिए उपयोग किए जा रहे उपकरणों की सूची यहाँ है (जैसा कि Bleeping Computer द्वारा वर्णित किया गया है):

  • net.exe – सक्रिय निर्देशिका (एडी) अन्वेषण;
  • netscan.exe - आंतरिक नेटवर्क जांच;
  • 7-ज़िप - एक एन्क्रिप्टेड सेगमेंटेड आर्काइव बनाएं जिसमें जासूसी डेटा को संक्षिप्त किया जा सके।
  • certutil - डेटा फ़ाइलों को एन्कोड (बेस64) और डिकोड करें और बैकडोर डिप्लॉय करें;
  • e.exe और d.dll - LSASS प्रक्रिया मेमोरी में लोड करें और मेमोरी डंप फ़ाइलें बनाएं;
  • sh3.exe - Mimikatz LSADUMP कमांड चलाएं ताकि क्रेडेंशियल निकाल सकें;
  • फ्रीफायर – नवीन हल्का .NET बैकडोर जो स्लैक का उपयोग करता है आदेश और नियंत्रण के लिए;
  • Atera - दूरस्थ मॉनिटरिंग और प्रबंधन;
  • AnyDesk - रिमोट डेस्कटॉप;
  • स्प्लैशटॉप - दूरस्थ डेस्कटॉप।

जैसा कि आप संभावित रूप से सहमत हैं, कुछ भी अत्यधिक असामान्य नहीं है जब तक आप उन सभी को मिलकर नहीं ढूंढते। एक को छोड़कर, वह है: फ्रीफायर।

FREEFIRE विशेष रूप से Citrix Bleed में हैकर्स द्वारा उपयोग किया जाता है।

यह ध्यान देने योग्य है कि जबकि इन उपकरणों में से कुछ उपकरण व्यापार परिवेशों में सामान्य रूप से पाए जाते हैं, तो इन अभियानों में इनके संयुक्त उपयोग का एक मजबूत संकेतक है कि एक उल्लंघन हुआ है। Mandiant ने यहां तक कि एक Yara नियम जारी किया है जिसका उपयोग एक उपकरण पर FREEFIRE की मौजूदगी का पता लगाने के लिए किया जाता है। यह उपकरण संगठनों को सक्रिय रूप से उलझे हुए सिस्टमों की पहचान करने और जोखिम को कम करने के लिए त्वरित कार्रवाई लेने में विशेष रूप से मूल्यवान है।

नीचे, आप FREEFIRE का पता लगाने के लिए Yara नियम पा सकते हैं। फिर भी, यदि आप वहाँ Yara नियम की पुष्टि करना या MITRE ATT&CK तकनीकों को पढ़ना चाहते हैं, तो ये Mandiant लेख को बंद करें। वहाँ, आप Mandiant के "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" गाइड के PDF में उनका लिंक भी पा सकते हैं।

Mandiant के यारा नियम Citrix Bleed संदर्भ में FREEFIRE को खोजने के लिए।

और नियम के रूप में टेक्स्ट: और नियम के रूप में

Yara नियम: "pe" नियम M_Hunting_Backdoor_FREEFIRE आयात करें { meta: लेखक = "मैंडियंट" विवरण = "यह एक हंटिंग नियम है जो getLastRecord विधि में OP कोड अनुक्रमों का उपयोग करके FREEFIRE सैंपल का पता लगाने के लिए है" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D और फ़ाइल का आकार >= 5KB और pe.imports("mscoree.dll") और सभी उन्हें

कुछ यादादाश्त बनाए रखें Citrix NetScaler संवर्धन CVE-2023-4966 को दूर करने के लिए

इन खोजों का संगम संगठनों को एक समग्र घटना प्रतिक्रिया दृष्टिकोण अपनाने की तत्काल आवश्यकता को जोर देता है। उपलब्ध सुरक्षा अपडेट लागू करना मौजूदा उल्लंघनों का समाधान करने में अपर्याप्त है। यह तथ्य कि सभी सक्रिय सत्रों को बंद करना आवश्यक है ताकि वे उपयोगी रहें, इसे सराहनीय नहीं किया जा सकता है। एक पूरी तरह से विकसित प्रतिक्रिया उल्लंघन को संयंत्र को संभालने, संक्रमण की व्याप्ति का मूल्यांकन करने और जरूरत पड़ने पर प्रणाली पुनर्स्थापन के लिए आवश्यक कदम आरंभ करने के लिए अनिवार्य है।

Mandiant के उपचार मार्गदर्शिका और अन्य प्रकाशन संगठनों के लिए आवश्यक व्यावहारिक कदम प्रदान करते हैं जो इन चुनौतीपूर्ण पोस्ट-उत्पीड़न स्थितियों का समानांतरण कर रहे हैं। सरकारी संगठन वैश्विक रूप से इन सिफारिशों, चेतावनियों और सुरक्षा प्रक्रियाओं को आगे बढ़ाने के लिए इन आक्रमणों को रोकने का प्रयास कर रहे हैं।

TSplus उन्नत सुरक्षा - सिट्रिक्स ब्लीड और अन्य हमलों के खिलाफ सर्वश्रेष्ठ सुरक्षा।

हमे यकीन है कि हमारा 360° साइबर सुरक्षा, TSplus उन्नत सुरक्षा TSplus Advanced Security, इस खतरे और अन्य खतरों से अपने व्यापार और आईटी ढांचे की सुरक्षा के लिए अद्वितीय है। वास्तव में, साइट्रिक्स ब्लीड एक्सप्लॉइट जैसी सुरक्षा कमियों ने बहुत से संदर्भों और ढांचों में साइबर सुरक्षा की अपर्याप्तता का संकेत दिया है। इसलिए, व्यापारों को अपने आईटी ढांचे और संवेदनशील डेटा की रक्षा के लिए व्यापक समाधानों को प्राथमिकता देनी चाहिए। TSplus Advanced Security इन तत्वावधानों के लिए मजबूत और सम्पूर्ण उत्तर है।

यह व्यापक सुरक्षा उपकरण आईटी सिस्टम की सुरक्षा सुनिश्चित करने के लिए एक बहुपक्षीय दृष्टिकोण प्रदान करता है, जिसमें जीरो-डे उत्पादन, मैलवेयर और अनधिकृत पहुंच जैसे विभिन्न खतरों के खिलाफ सुरक्षा है।


TSplus एडवांस्ड सुरक्षा एक पूर्णतावादी रिमोट सॉफ़्टवेयर स्वीट का हिस्सा है।

एक की प्रमुख लाभों में से एक TSplus उन्नत सुरक्षा इसकी विशेषता इसमें है कि यह आपके संगठन की आईटी बुनियाद को CVE-2023-4966 जैसी कमजोरियों के खिलाफ मजबूत करने में सक्षम है, जिनका दूर-तक पहुंच होता है। यह व्यापारों को अनधिकृत पहुंच को रोककर और साइबर सुरक्षा खतरों को प्रभावी रूप से कम करके उनके सिस्टमों को सुरक्षित करने में सक्षम बनाता है।

इसके अतिरिक्त, TSplus सॉफ़्टवेयर सुइट व्यापक सुविधाएं प्रदान करता है जो TSplus एडवांस्ड सुरक्षा को पूरक है। रिमोट नेटवर्क के लिए हमारे चार स्तंभ हैं: सुरक्षा, एक्सेस, मॉनिटरिंग और समर्थन।

TSplus रिमोट एक्सेस सत्र लॉगऑफ और ग्रैनुलर प्रबंधन के लिए

पहले, TSplus Remote Access इसमें सत्र समाप्ति पैरामाउंट सुनिश्चित करने के द्वारा सुरक्षा को बढ़ावा देने वाले सत्र लॉगऑफ पैरामीटर शामिल हैं। इसके महत्वपूर्ण होने से, अनधिकृत पहुंच के जोखिम को कम किया जाता है। यह सुनिश्चित करने के द्वारा कि कोई सत्र टोकन बना रहता है, यहां तक कि पैचिंग के बाद भी, यह एक अतिरिक्त सुरक्षा स्तर प्रदान करता है।

TSplus सर्वर मॉनिटरिंग सर्वर और उपयोगकर्ता सत्र निगरानी के लिए

अतिरिक्त में TSplus सर्वर मॉनिटरिंग संगठनों के लिए एक अनिवार्य उपकरण है। वास्तव में, यह उन्हें अपने सर्वरों और वेबसाइटों की स्वास्थ्य का निगरानी करने की सुविधा प्रदान करता है। सिट्रिक्स ब्लीड या समान सुरक्षा दोषों के संदर्भ में, सर्वर मॉनिटरिंग इस्सुओं की त्वरित पहचान की अनुमति देता है, जिससे समस्याओं को समय पर सुलझाना और सुधारना आसान हो जाता है। यह सक्रिय दृष्टिकोण आईटी सिस्टम की अखंडता बनाए रखने और उल्लंघनों से बचाव के लिए अत्यावश्यक है।

TSplus दूरस्थ नियंत्रण, सुधार और प्रशिक्षण के लिए रिमोट समर्थन

अंत में TSplus रिमोट सपोर्ट एक महत्वपूर्ण भूमिका निभाता है जो साइबर सुरक्षा चुनौतियों का सामना करने में। यह किसी भी आईटी समस्या के लिए दूरस्थ सहायता और अनदेखी हस्तक्षेप को सुविधाजनक बनाता है, जिससे त्वरित समाधान सुनिश्चित होता है और चल रही जोखिमों को कम करता है। क्या किसी Citrix जोखिम को ठीक करने या किसी अन्य आईटी समस्या का समाधान करने के लिए हो, TSplus रिमोट समर्थन संगठनों को किसी भी स्थान से त्वरित, प्रभावी और सुरक्षित तरीके से प्रतिक्रिया देने की शक्ति प्रदान करता है।

Citrix Bleed सुरक्षा दोष CVE-2023-4966 के निष्कर्ष के रूप में पैचिंग के बावजूद अपने स्वागत को बढ़ाने के लिए अपनी अवस्था में।

सारांश में, TSplus Advanced Security ऐसी संक्रमणों के खिलाफ एक महान उपकरण है। और, सॉफ़्टवेयर स्यूट के बाकी साथ में, यह सभी प्रकार के सायबर सुरक्षा खतरों के खिलाफ मजबूत रक्षा रेखा बनाता है जैसे कि ग्रैनुलर प्रबंधन, वास्तविक समय मॉनिटरिंग और त्वरित प्रतिक्रिया क्षमताएँ प्रदान करता है। अपनी आईटी ढांचे को सुरक्षित रखने और संवेदनशील कंपनी डेटा की रक्षा के लिए आप क्या और मांग सकते हैं।

क्या आप अपनी कंपनी की आईटी बुनियाद को साइबर हमलों से बचाना चाहते हैं या पूरी तरह से Citrix को बदलना चाहते हैं, आज ही हमसे फोन, ईमेल या हमारी वेबसाइट के माध्यम से संपर्क करें। और अपनी कोट या परीक्षण कुछ सेकंड में या कुछ क्लिक में प्राप्त करें।

शेयर:

Facebook Twitter लिंक्डइन

आपकी TSplus टीम

संबंधित पोस्ट

TSplus Remote Desktop Access - Advanced Security Software

Ransomwares से RDP को सुरक्षित कैसे करें

यह लेख RDP को रैनसमवेयर से सुरक्षित करने के तकनीकी पहलुओं में गहराई से जाता है, यह सुनिश्चित करते हुए कि आईटी पेशेवर अपने नेटवर्क को इन खतरों से बचा सकें।

लेख पढ़ें →
TSplus Remote Desktop Access - Advanced Security Software

क्या RDP सुरक्षित है और इसे कैसे सुरक्षित बनाया जा सकता है?

यह लेख RDP की कमजोरियों पर चर्चा करता है और संभावित साइबर खतरों के खिलाफ इसे सुरक्षित करने के लिए एक व्यापक रणनीति का विवरण देता है।

लेख पढ़ें →
back to top of the page icon