)
)
)
)
Hogyan biztosítsuk az RDP portot
Ez a cikk mélyreható betekintést nyújt az RDP portok biztonságosításába, az IT szakemberek számára szabva.
)
)
A kiberhírek olyan történetekből állnak, amelyek mindegyike ijesztőbb és aggasztóbb, mint az előző, egy megfelelő téma az október vége felé. A Citrix Bleed nem kivétel. Egy korábbi sebezhetőség és javítás után a nyár elején, a Citrix az ősz nagy részében címlapokra került a hírekkel nagyvállalati és kormányzati hálózatokba való behatolásokról. Íme, hogyan okozza a Citrix Bleed sebezhetőség CVE-2023-4966 álmatlan éjszakákat bizonyos körökben, követő ajánlásokat és saját megoldásainkat és védelmünket, hogy megvédjük távoli infrastruktúránkat az ilyen veszélyektől. A hírek nem csak rosszak.
Citrix NetScaler ADC és NetScaler Gateway tűz alatt
A Citrix Bleed, a kritikus információ-kiszivárogtatási hiba, amely érinti a NetScaler ADC-t és a NetScaler Gateway-t, "tömeges kihasználás" alatt állt, annak ellenére, hogy október 10-én kiadtak egy javítást. Azóta rendszeres hullámok emlékeztettek minket arra, hogy a sebezhetőség még mindig lehetővé teszi a támadók számára, hogy hozzáférjenek a kiszolgált eszközök memóriájához. Ott a támadások kinyerik a munkamenet tokeneket az engedély nélküli hozzáféréshez, még akkor is, ha a javítást alkalmazták.
Ransomware csoportok kihasználták ezt a sebezhetőséget, és a Mandiant több csoportot követ, amelyek különböző szektorokat céloznak meg globálisan. Az amerikai kormány ismeretlen kihasznált sebezhetőségként minősítette. A Google tulajdonában lévő Mandiant hangsúlyozza az összes aktív munkamenet leállításának szükségességét a hatékony enyhítés érdekében. A hiba augusztus vége óta kihasználásra került, a bűnözők kibertámadásokra használják. Pénzügyi fenyegetési szereplők várhatóan kihasználják, ezért még fontosabb megállítani a Citrix Bleed-et, mielőtt túl késő lenne.
CVE-2023-4966 Sérülékenység Folyamatban, Annak Ellenére, Hogy Javították
Úgy tűnik, hogy október 30-án több mint 5 000 sebezhető szerver maradt felfedezve a nyilvános interneten. A GreyNoise az elmúlt héten 137 egyedi IP-címet figyelt meg, amelyek megpróbálták kihasználni ezt a Citrix sebezhetőséget. Annak ellenére, hogy a Citrix gyorsan közzétette és kiadta a javítást (CVE-2023-4966) október 10-én, a helyzet gyorsan súlyosbodott. Még a javítás alkalmazása után is a munkamenet tokenek megmaradtak, így a rendszerek továbbra is sebezhetőek maradtak az exploatálásra. A helyzet súlyosságát alátámasztja az a tény, hogy, ahogyan aztől tartottak, a zsarolóvírus csoportok kihasználták ezt a sebezhetőséget, python szkripteket terjesztve az automatizált támadási lánc létrehozásához.
Stratégiai gondolkodáson alapuló eszközök és lépések az támadásokhoz
Ezek az támadások sokoldalú jellegűvé váltak, ahogy túlléptek az első kihasználáson. A támadók kezdetben hálózati felderítésbe kezdtek. Azonban a célok nyilvánvalóan kiterjedtek a kritikus fiókhoz való hozzáférés lopására és oldalirányú mozgásra a kompromittált hálózatokon keresztül. Ebben a fázisban különböző eszközöket alkalmaztak, amelyek jól szervezett megközelítést mutattak a rosszindulatú tevékenységeikhez.
Azok, akik ezeket a kampányokat szervezik, magas szintű szakértelmet mutattak be megközelítésükben, széles körű eszközöket és technikákat alkalmazva a céljaik eléréséhez. A támadók speciálisan kidolgozott HTTP GET kéréseket használtak arra, hogy kényszerítsék a Citrix készüléket a rendszer memóriatartalmának felfedésére, ideértve a érvényes Netscaler AAA munkamenet sütiket is. Ez lehetővé tette számukra a többlépcsős hitelesítés megkerülését, ami még álnokabbá tette behatolásukat.
Figyelj az adott eszköz kombinációra
Egy figyelemre méltó eszköz a fegyvertárban a FREEFIRE, egy újszerű könnyű .NET hátsó ajtó, amely a Slacket használja parancsok és ellenőrzés céljából. Ez az egyetlen szokatlan eszköz a fegyvertárban. Az támadások sok szabványos és natív folyamatot használtak, a megszokott távoli asztali hozzáférés és kezelőeszközökkel, mint például az Atera, AnyDesk és SplashTop. Ez mutatja, mennyire keményen dolgoztak a hackerek az észlelés elkerülése érdekében. Valóban, míg ezek az eszközök egyénileg általában megtalálhatók a jogosult vállalati környezetekben, csak a fenyegető szereplők által történő együttes telepítésük jelent jelentős piros zászlót. Hacsak a biztonsági szoftver és csapat nem figyel erre a kompromisszumra utaló kombinációra, észrevétlen maradhat.
Itt van az eszközök listája, amelyeket a hackerek használnak a munkamenetinformációk visszanyerésére és vízszintesen való haladásra a hálózatokon (valamint céljaik, ahogyan a Bleeping Computer leírja):
- net.exe – Aktív könyvtár (AD) felderítés;
- netscan.exe – belső hálózati felsorolás;
- 7-zip - hozzon létre egy titkosított szegmentált archívumot a felderítési adatok tömörítéséhez;
- certutil - kódolja (base64) és dekódolja az adatfájlokat, és telepítse visszajáratokat;
- e.exe és d.dll - töltse be az LSASS folyamat memóriájába, és hozzon létre memóriadump fájlokat;
- sh3.exe -futtassa le a Mimikatz LSADUMP parancsot az azonosítókinyeréshez;
- FREEFIRE – új könnyű .NET hátsó ajtó használata a Slack alkalmazásban parancsok és irányítás céljából;
- Atera – Távoli felügyelet és kezelés;
- AnyDesk Távoli asztal;
- SplashTop – Távoli asztal.
Ahogy valószínűleg egyetértesz, semmi különös, hacsak nem találod őket mind egyesítve. Kivéve egyet, az pedig: FREEFIRE.
FREEFIRE különösen használt Hackerek által a Citrix Bleed-ben
Fontos megjegyezni, hogy míg ezek közül néhány eszköz gyakran megtalálható vállalati környezetekben, ezek kombinált használata ezekben a kampányokban erős jelzője egy megsértésnek. A Mandiant még egy olyan Yara szabályt is kiadott, amelyet a FREEFIRE jelenlétének észlelésére alkalmaznak egy eszközön. Ez az eszköz különösen értékes segítséget nyújt a szervezeteknek abban, hogy előre jelezzenek kompromittált rendszereket, és gyorsan cselekedjenek a kockázat csökkentése érdekében.
Az alábbiakban megtalálható a Yara szabály a FREEFIRE felismeréséhez. Ha azonban szeretné ellenőrizni a Yara szabályt ott, vagy elolvasni a MITRE ATT&CK technikákat, akkor zárja be a Mandiant cikket. Ott megtalálhatja a Mandiant „Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation” útmutatójának PDF linkjét is.
Mandiant Yara szabályok a FREEFIRE felkutatásához a Citrix Bleed környezetben
)
És a szabály szövegként:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Néhány emlékeztető a Citrix NetScaler sebezhetőség CVE-2023-4966 elleni védekezéshez
Az eredmények egybeesése hangsúlyozza a szervezetek számára sürgős szükségességét annak, hogy átfogó incidenskezelési megközelítést alkalmazzanak. Egyszerűen az elérhető biztonsági frissítések alkalmazása nem elegendő a meglévő megsértések kezeléséhez. Az a tény, hogy elengedhetetlen az összes aktív munkamenet bezárása, különben azok kihasználhatók maradnak, egyszerűen nem hangsúlyozható eléggé. Egy teljes körű válasz elengedhetetlen a megsértés korlátozásához, az áttörés mértékének felméréséhez, és szükség esetén azoknak a lépéseknek az elindításához, amelyek a rendszer helyreállításához szükségesek.
Mandiant remediation útmutatója és más kiadványai alapvető gyakorlati lépéseket kínálnak azoknak a szervezeteknek, amelyek nehéz utókiaknázási helyzetekkel küzdenek. A kormányzati szervezetek világszerte átadják ezeket az ajánlásokat, figyelmeztetéseket és védelmi folyamatokat annak érdekében, hogy megállítsák ezeket a támadásokat.
TSplus Advanced Security - A legjobb védelem a Citrix Bleed és egyéb támadások ellen
Hiszünk abban, hogy 360° kibervédelmünk, TSplus Advanced Security A TSplus Advanced Security egy erős és mindenre kiterjedő válasz ezekre az aktuális aggodalmakra.
Ez a átfogó biztonsági eszköz egy sokoldalú megközelítést kínál az IT rendszerek védelméhez, védekezve számos fenyegetés ellen, beleértve a zero-day kihasználásokat, a kártékony szoftvereket és az engedély nélküli hozzáféréseket.
TSplus Advanced Security a teljes körű távoli szoftvercsomag részeként
Az egyik fő előnye TSplus Advanced Security a képességében rejlik, hogy megerősítse szervezetének IT infrastruktúráját olyan sebezhetőségek ellen, mint például a CVE-2023-4966, amelyek messzire ható hatással bírnak. Lehetővé teszi a vállalkozások számára, hogy biztonságossá tegyék rendszereiket az engedély nélküli hozzáférés megakadályozásával és a kiberbiztonsági fenyegetések hatékony csökkentésével.
Ezenkívül a szélesebb TSplus szoftvercsomag értékes funkciókat kínál, amelyek kiegészítik a TSplus Advanced Security-t. Hasonlóan a négy égtájhoz, négy oszlopa van egy távoli hálózatnak: biztonság, hozzáférés, monitorozás és támogatás.
TSplus Távoli hozzáférés a munkamenet kijelentkezéshez és részletes kezeléshez
Először is TSplus Távhozzáférés A funkció olyan munkamenet-kijelentkezési paramétereket tartalmaz, amelyek növelik a biztonságot azzal, hogy biztosítják a felhasználói munkamenetek helyes lezárását. Ez alapvető fontosságú a jogosulatlan hozzáférés kockázatának csökkentése érdekében. Ez a funkció létfontosságú a Citrix Bleed incidens által okozott problémák kezelésében. Azt biztosítja, hogy még a javítás után se maradjanak meg munkamenet-tokensek, így további védelmi réteget nyújtva.
TSplus Szerverfigyelés a szerver és felhasználói munkamenet felügyeletéhez
Továbbá, TSplus Szerver Figyelés Az egyik nélkülözhetetlen eszköz a szervezetek számára. Valóban lehetővé teszi a szerverek és webhelyek egészségének valós idejű monitorozását. A Citrix Bleed vagy hasonló sebezhetőségek kontextusában a Szerverfigyelés lehetővé teszi a problémák gyors azonosítását, ezáltal könnyebbé téve az időben történő hibaelhárítást és helyreállítást. Ez a proaktív megközelítés alapvető fontosságú az IT rendszerek integritásának fenntartásához és a megsértések megelőzéséhez.
TSplus Távoli Támogatás Távoli Vezérléshez, Javításhoz és Képzéshez
Végül TSplus Remote Support jelentős szerepet játszik a kiberbiztonsági kihívások kezelésében. Lehetővé teszi a távoli segítségnyújtást és felügyelet nélküli beavatkozást bármilyen IT probléma esetén, biztosítva a gyors megoldást és minimalizálva az folyamatos sebezhetőségekkel járó kockázatokat. Legyen szó egy Citrix sebezhetőség hibaelhárításáról vagy bármely más IT probléma kezeléséről, a TSplus távoli támogatása lehetővé teszi a szervezetek számára, hogy gyorsan, hatékonyan és biztonságosan reagáljanak bárhonnan.
A Citrix vérzékenységi sebezhetőség CVE-2023-4966 befejezéseként, annak ellenére, hogy a javítások ellenére továbbra is ott marad.
Az TSplus Advanced Security összefoglalója egy nagyszerű eszköz az ilyen sebezhetőségek ellen. És a szoftvercsomag többi részével kombinálva egy erős védelmi vonalat alkot az összesféle kiberbiztonsági fenyegetések ellen, valamint részletes kezelést, valós idejű monitorozást és gyors reagálási képességeket kínálva. Mit kérhetne még az IT infrastruktúrája biztonságosabbá tételéhez és az érzékeny vállalati adatok védelméhez.
Szeretné védeni vállalata IT infrastruktúráját a kiber-támadások ellen, vagy teljes egészében lecserélné a Citrix-et, lépjen kapcsolatba ma telefonon, e-mailben vagy weboldalunkon keresztül és szerezze meg árajánlatát vagy próbaverzióját másodpercek alatt vagy néhány kattintással.
)
)
)
