We've detected you might be speaking a different language. Do you want to change to:

Sadržaj

Cyber vijesti se sastoje od priča, svaka je sve više zastrašujuća i zabrinjavajuća od prethodne, prikladna tema za kraj listopada. Citrix Bleed nije iznimka. Nakon prethodne ranjivosti i zakrpe početkom ljeta, Citrix je većinu ovog jeseni bio u središtu pažnje s vijestima o probojima u velike korporativne i vladine mreže. Evo kako ranjivost Citrix Bleed CVE-2023-4966 uzrokuje nespavanje u nekim sferama, slijede preporuke i naša vlastita rješenja i zaštita kako biste sačuvali svoju udaljenu infrastrukturu od takvih opasnosti. Vijesti nisu sve loše.

Citrix NetScaler ADC i NetScaler Gateway pod vatrom

Citrix Bleed, kritični bug za otkrivanje informacija koji utječe na NetScaler ADC i NetScaler Gateway, bio je pod "masovnom eksploatacijom", s tisućama ranjivih Citrix poslužitelja još uvijek online unatoč izdanju zakrpe 10. listopada. Od tada, redoviti valovi vijesti podsjećaju nas da ranjivost i dalje omogućuje napadačima pristup memoriji izloženih uređaja. Tamo, napadi izvlače sesijske tokene za neovlašteni pristup, čak i nakon primjene zakrpe.

Ransomware bande iskorištavaju ovu ranjivost i Mandiant prati više grupa koje ciljaju različite sektore globalno. Američka vlada klasificirala ju je kao nepoznatu iskorištenu ranjivost. Mandiant u vlasništvu Googlea naglašava potrebu za završavanjem svih aktivnih sesija radi učinkovitog ublažavanja. Bug je iskorišten od kraja kolovoza, s kriminalcima koji ga koriste za kibernetički špijunažu. Financijski prijetelji se očekuju da će iskoristiti, stoga je još važnije zaustaviti Citrix Bleed prije nego bude prekasno.

CVE-2023-4966 Ranjivost u tijeku unatoč zakrpi

Izgleda da je, kao od 30. listopada, ostalo preko 5.000 ranjivih poslužitelja izloženih na javnom internetu. GreyNoise je primijetio 137 pojedinačnih IP adresa koje su pokušale iskoristiti ovu ranjivost Citrixa tijekom proteklog tjedna. Unatoč brzom otkrivanju i izdavanju zakrpe (CVE-2023-4966) od strane Citrixa 10. listopada, situacija se brzo pogoršala. Čak i nakon primjene zakrpe, sesijski tokeni su ostali, ostavljajući sustave ranjivima na iskorištavanje. Težina situacije je istaknuta činjenicom da su, kao što se strahovalo, skupine ucjenjivačkog softvera iskoristile ovu ranjivost, distribuirajući python skripte za automatizaciju lanca napada.

Strateški promišljeni alati i koraci za napade

Ovi napadi su poprimili višestranu prirodu kako su napredovali izvan početne eksploatacije. Napadači su se činili prvotno uključenima u mrežno izviđanje. Ipak, ciljevi su očito prošireni na krađu kritičnih korisničkih podataka i pokazali su lateralno kretanje kroz kompromitirane mreže. U ovoj fazi, koristili su raznolik skup alata, pokazujući dobro orkestriran pristup svojim zlonamjernim aktivnostima.

Oni iza ovih kampanja pokazali su visoku razinu sofisticiranosti u svom pristupu, koristeći širok spektar alata i tehnika kako bi postigli svoje ciljeve. Napadači su koristili posebno oblikovane HTTP GET zahtjeve kako bi prisilili Citrix uređaj da otkrije sadržaj memorijskog sustava, uključujući valjane Netscaler AAA sesijske kolačiće. To im je omogućilo zaobilazak višestruke autentifikacije, čineći njihov provalnički čin još podmuklijim.

Pazite na određenu kombinaciju alata

Jedan zapaženi alat u njihovom arsenalu je FREEFIRE, novi lagani .NET backdoor koji koristi Slack za naredbe i kontrolu. Ovo je jedini neobičan alat u arsenalu. Napadi su iskoristili mnoge standardne i izvorne procese, uz dodatak uobičajenog daljinskog pristupa radnoj površini i alata za upravljanje Atera, AnyDesk i SplashTop. To pokazuje koliko su napadači naporno radili kako bi ostali nevidljivi za otkrivanje. Doista, iako su ovi alati pojedinačno obično prisutni u legitimnim poslovnim okruženjima, samo njihovo zajedničko korištenje od strane prijetnji predstavlja značajan crveni signal. Ako vaš softver za sigurnost i tim ne paze na ovu kombinaciju koja ukazuje na kompromitaciju, proći će nezapaženo.

Evo popisa alata koje su hakeri koristili za dobivanje informacija o sesiji i horizontalno kretanje kroz mreže (kao i njihove svrhe kako ih opisuje Bleeping Computer):

  • net.exe – Prepoznavanje Active Directoryja (AD);
  • netscan.exe - unutarnje nabrajanje mreže;
  • 7-zip - stvorite šifrirani segmentirani arhiv za komprimiranje podataka o izviđanju;
  • certutil - kodirati (base64) i dekodirati podatkovne datoteke te implementirati stražnje ulaze;
  • e.exe i d.dll - učitajte u memoriju procesa LSASS i stvorite datoteke za pohranu memorije;
  • sh3.exe - pokrenite naredbu Mimikatz LSADUMP za izvlačenje vjerodajnica;
  • FREEFIRE - novi lagani .NET stražnji ulaz koristeći Slack za naredbe i kontrolu;
  • Atera – Nadzor i upravljanje na daljinu;
  • AnyDesk – Udaljeni rad na radnoj površini;
  • SplashTop – Daljinsko upravljanje računalom.

Kao što vjerojatno slažete, ništa posebno osim ako ih sve ne pronađete kombinirane. Osim jednog, to je: FREEFIRE.

FREEFIRE posebno koristi hakere u Citrix Bleed-u

Važno je napomenuti da dok se neki od ovih alata često nalaze u poslovnim okruženjima, njihova kombinirana upotreba u ovim kampanjama snažan je pokazatelj povrede. Mandiant je čak objavio Yara pravilo koje se koristi za otkrivanje prisutnosti FREEFIRE-a na uređaju. Ovaj alat posebno je vrijedan jer pomaže organizacijama proaktivno identificirati kompromitirane sustave i poduzeti brze mjere za smanjenje rizika.

Ispod možete pronaći Yara pravilo za otkrivanje FREEFIRE. Ipak, ako želite provjeriti Yara pravilo tamo ili pročitati tehnike MITRE ATT&CK, zatvorite Mandiant članak. Tamo također možete pronaći njihovu poveznicu na Mandiantov "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" vodič u PDF formatu.

Mandiantova Yara pravila za pronalaženje FREEFIRE-a u Citrix Bleed kontekstu

I pravilo kao tekst:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Neke podsjetnike za odbijanje ranjivosti Citrix NetScaler CVE-2023-4966

Konvergencija ovih saznanja ističe hitnu potrebu za organizacijama da usvoje sveobuhvatan pristup odgovoru na incidente. Samo primjena dostupnih sigurnosnih ažuriranja nije dovoljna za rješavanje postojećih povreda. Činjenica da je bitno zatvoriti sve aktivne sesije kako ne bi ostale iskoristive jednostavno se ne može dovoljno istaknuti. Potpuni odgovor je imperativ za suzbijanje povrede, procjenu obima kompromitacije i, gdje je potrebno, pokretanje koraka potrebnih za obnovu sustava.

Vodič za sanaciju tvrtke Mandiant i ostale publikacije nude ključne praktične korake za organizacije koje se suočavaju s izazovnim post-eksploatacijskim scenarijima. Vlade širom svijeta prenose ove preporuke, upozorenja i procese zaštite u nastojanju da zaustave ove napade.

TSplus Napredna sigurnost - Najbolja zaštita protiv Citrix Bleed i drugih napada

Uvjereni smo u našu 360° cyber zaštitu, TSplus Napredna sigurnost , je neusporediv za zaštitu vašeg poslovanja i IT infrastrukture od ove prijetnje i drugih. Doista, ranjivosti poput Citrix Bleed eksploatacije ukazuju na nedostatnost kibernetičke sigurnosti u previše konteksta i infrastruktura. Stoga, tvrtke moraju prioritetno rješavati sveobuhvatna rješenja kako bi zaštitile svoju IT infrastrukturu i osjetljive podatke. TSplus Advanced Security stoji kao snažan i sveobuhvatan odgovor na ove hitne probleme.

Ovaj sveobuhvatan sigurnosni alat nudi višestruki pristup kako bi osigurao zaštitu IT sustava, čuvajući ih od raznih prijetnji, uključujući zero-day eksploate, zlonamjerne programe i neovlašteni pristup.


TSplus Napredna sigurnost kao dio cjelovitog softverskog paketa za udaljeni pristup

Jedna od ključnih prednosti TSplus Napredna sigurnost leži u svojoj sposobnosti da ojača IT infrastrukturu vaše organizacije protiv ranjivosti poput CVE-2023-4966, koje imaju dalekosežan utjecaj. Omogućuje tvrtkama da osiguraju svoje sustave sprječavanjem neovlaštenog pristupa i učinkovito ublažavanje sigurnosnih prijetnji.

Osim toga, širi TSplus softverski paket nudi neprocjenjive značajke koje nadopunjuju TSplus Advanced Security. Slično četiri kardinalne točke, imamo četiri stupa za udaljenu mrežu: sigurnost, pristup, nadzor i podrška.

TSplus Remote pristup za odjavu sesije i granularno upravljanje

Prvo, TSplus Remote Access , uključuje parametre odjave sesije koji poboljšavaju sigurnost osiguravajući da se korisničke sesije pravilno završavaju. Prije svega, to smanjuje rizik neovlaštenog pristupa. Ova značajka je ključna u rješavanju povezanih problema poput onih uzrokovanih eksploatacijom incidenta Citrix Bleed. Osiguravajući da nijedan token sesije ne ostane, čak i nakon zakrpe, pruža dodatni sloj zaštite.

TSplus Server Monitoring za nadzor poslužitelja i korisničkih sesija

Dodatno, TSplus Server Monitoring je neophodan alat za organizacije. Doista, omogućuje vam praćenje zdravlja njihovih poslužitelja i web stranica u stvarnom vremenu. U kontekstu Citrix Bleed ili sličnih ranjivosti, nadzor poslužitelja omogućuje brzo identificiranje problema, što olakšava pokretanje pravovremenog rješavanja problema i ispravljanja. Ovaj proaktivni pristup ključan je za održavanje integriteta IT sustava i sprječavanje povreda.

TSplus Daljinska podrška za udaljenu kontrolu, popravak i obuku

Konačno TSplus Remote Support igra ključnu ulogu u rješavanju izazova kibernetičke sigurnosti. Omogućuje udaljenu pomoć i neprisutnu intervenciju za bilo koji IT problem, osiguravajući brzo rješenje i minimiziranje rizika povezanih s trenutnim ranjivostima. Bez obzira rješavate li ranjivost Citrixa ili bilo koji drugi IT problem, TSplus Remote Support omogućuje organizacijama brz, učinkovit i siguran odgovor, iz bilo kojeg mjesta.

Kao zaključak o ranjivosti Citrix Bleed CVE-2023-4966, ostaje unatoč zakrpi.

Ukratko, TSplus Advanced Security je odličan alat protiv takvih ranjivosti. I u kombinaciji s ostatkom softverskog paketa, tvori snažnu liniju obrane protiv sigurnosnih prijetnji svih vrsta, pružajući granularno upravljanje, praćenje u stvarnom vremenu i sposobnosti brzog odgovora. Što više možete tražiti kako biste osigurali svoje IT infrastrukture i zaštitili osjetljive podatke tvrtke.

Želite li zaštititi IT infrastrukturu svoje tvrtke od cyber napada ili želite zamijeniti Citrix u potpunosti, kontaktirajte nas danas telefonom, e-poštom ili putem naše web stranice i dobijte svoju ponudu ili probnu verziju u sekundama ili nekoliko klikova.

Dijeli:

Facebook Twitter LinkedIn

Vaš TSplus tim

Povezani postovi

back to top of the page icon