Tartalomjegyzék

A kiberhírek olyan történetekből állnak, amelyek mindegyike ijesztőbb és aggasztóbb, mint az előző, egy megfelelő téma az október vége felé. A Citrix Bleed nem kivétel. Egy korábbi sebezhetőség és javítás után a nyár elején, a Citrix az ősz nagy részében címlapokra került a hírekkel nagyvállalati és kormányzati hálózatokba való behatolásokról. Íme, hogyan okozza a Citrix Bleed sebezhetőség CVE-2023-4966 álmatlan éjszakákat bizonyos körökben, követő ajánlásokat és saját megoldásainkat és védelmünket, hogy megvédjük távoli infrastruktúránkat az ilyen veszélyektől. A hírek nem csak rosszak.

Citrix NetScaler ADC és NetScaler Gateway tűz alatt

A Citrix Bleed, a kritikus információ-kiszivárogtatási hiba, amely érinti a NetScaler ADC-t és a NetScaler Gateway-t, "tömeges kihasználás" alatt állt, annak ellenére, hogy október 10-én kiadtak egy javítást. Azóta rendszeres hullámok emlékeztettek minket arra, hogy a sebezhetőség még mindig lehetővé teszi a támadók számára, hogy hozzáférjenek a kiszolgált eszközök memóriájához. Ott a támadások kinyerik a munkamenet tokeneket az engedély nélküli hozzáféréshez, még akkor is, ha a javítást alkalmazták.

Ransomware csoportok kihasználták ezt a sebezhetőséget, és a Mandiant több csoportot követ, amelyek különböző szektorokat céloznak meg globálisan. Az amerikai kormány ismeretlen kihasznált sebezhetőségként minősítette. A Google tulajdonában lévő Mandiant hangsúlyozza az összes aktív munkamenet leállításának szükségességét a hatékony enyhítés érdekében. A hiba augusztus vége óta kihasználásra került, a bűnözők kibertámadásokra használják. Pénzügyi fenyegetési szereplők várhatóan kihasználják, ezért még fontosabb megállítani a Citrix Bleed-et, mielőtt túl késő lenne.

CVE-2023-4966 Sérülékenység Folyamatban, Annak Ellenére, Hogy Javították

Úgy tűnik, hogy október 30-án több mint 5 000 sebezhető szerver maradt felfedezve a nyilvános interneten. A GreyNoise az elmúlt héten 137 egyedi IP-címet figyelt meg, amelyek megpróbálták kihasználni ezt a Citrix sebezhetőséget. Annak ellenére, hogy a Citrix gyorsan közzétette és kiadta a javítást (CVE-2023-4966) október 10-én, a helyzet gyorsan súlyosbodott. Még a javítás alkalmazása után is a munkamenet tokenek megmaradtak, így a rendszerek továbbra is sebezhetőek maradtak az exploatálásra. A helyzet súlyosságát alátámasztja az a tény, hogy, ahogyan aztől tartottak, a zsarolóvírus csoportok kihasználták ezt a sebezhetőséget, python szkripteket terjesztve az automatizált támadási lánc létrehozásához.

Stratégiai gondolkodáson alapuló eszközök és lépések az támadásokhoz

Ezek az támadások sokoldalú jellegűvé váltak, ahogy túlléptek az első kihasználáson. A támadók kezdetben hálózati felderítésbe kezdtek. Azonban a célok nyilvánvalóan kiterjedtek a kritikus fiókhoz való hozzáférés lopására és oldalirányú mozgásra a kompromittált hálózatokon keresztül. Ebben a fázisban különböző eszközöket alkalmaztak, amelyek jól szervezett megközelítést mutattak a rosszindulatú tevékenységeikhez.

Azok, akik ezeket a kampányokat szervezik, magas szintű szakértelmet mutattak be megközelítésükben, széles körű eszközöket és technikákat alkalmazva a céljaik eléréséhez. A támadók speciálisan kidolgozott HTTP GET kéréseket használtak arra, hogy kényszerítsék a Citrix készüléket a rendszer memóriatartalmának felfedésére, ideértve a érvényes Netscaler AAA munkamenet sütiket is. Ez lehetővé tette számukra a többlépcsős hitelesítés megkerülését, ami még álnokabbá tette behatolásukat.

Figyelj az adott eszköz kombinációra

Egy figyelemre méltó eszköz a fegyvertárban a FREEFIRE, egy újszerű könnyű .NET hátsó ajtó, amely a Slacket használja parancsok és ellenőrzés céljából. Ez az egyetlen szokatlan eszköz a fegyvertárban. Az támadások sok szabványos és natív folyamatot használtak, a megszokott távoli asztali hozzáférés és kezelőeszközökkel, mint például az Atera, AnyDesk és SplashTop. Ez mutatja, mennyire keményen dolgoztak a hackerek az észlelés elkerülése érdekében. Valóban, míg ezek az eszközök egyénileg általában megtalálhatók a jogosult vállalati környezetekben, csak a fenyegető szereplők által történő együttes telepítésük jelent jelentős piros zászlót. Hacsak a biztonsági szoftver és csapat nem figyel erre a kompromisszumra utaló kombinációra, észrevétlen maradhat.

Itt van az eszközök listája, amelyeket a hackerek használnak a munkamenetinformációk visszanyerésére és vízszintesen való haladásra a hálózatokon (valamint céljaik, ahogyan a Bleeping Computer leírja):

  • net.exe – Aktív könyvtár (AD) felderítés;
  • netscan.exe – belső hálózati felsorolás;
  • 7-zip - hozzon létre egy titkosított szegmentált archívumot a felderítési adatok tömörítéséhez;
  • certutil - kódolja (base64) és dekódolja az adatfájlokat, és telepítse visszajáratokat;
  • e.exe és d.dll - töltse be az LSASS folyamat memóriájába, és hozzon létre memóriadump fájlokat;
  • sh3.exe -futtassa le a Mimikatz LSADUMP parancsot az azonosítókinyeréshez;
  • FREEFIRE – új könnyű .NET hátsó ajtó használata a Slack alkalmazásban parancsok és irányítás céljából;
  • Atera – Távoli felügyelet és kezelés;
  • AnyDesk Távoli asztal;
  • SplashTop – Távoli asztal.

Ahogy valószínűleg egyetértesz, semmi különös, hacsak nem találod őket mind egyesítve. Kivéve egyet, az pedig: FREEFIRE.

FREEFIRE különösen használt Hackerek által a Citrix Bleed-ben

Fontos megjegyezni, hogy míg ezek közül néhány eszköz gyakran megtalálható vállalati környezetekben, ezek kombinált használata ezekben a kampányokban erős jelzője egy megsértésnek. A Mandiant még egy olyan Yara szabályt is kiadott, amelyet a FREEFIRE jelenlétének észlelésére alkalmaznak egy eszközön. Ez az eszköz különösen értékes segítséget nyújt a szervezeteknek abban, hogy előre jelezzenek kompromittált rendszereket, és gyorsan cselekedjenek a kockázat csökkentése érdekében.

Az alábbiakban megtalálható a Yara szabály a FREEFIRE felismeréséhez. Ha azonban szeretné ellenőrizni a Yara szabályt ott, vagy elolvasni a MITRE ATT&CK technikákat, akkor zárja be a Mandiant cikket. Ott megtalálhatja a Mandiant „Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation” útmutatójának PDF linkjét is.

Mandiant Yara szabályok a FREEFIRE felkutatásához a Citrix Bleed környezetben

És a szabály szövegként:

Yara szabály: importálás "pe" szabály M_Hunting_Backdoor_FREEFIRE { meta: szerző = "Mandiant" leírás = "Ez egy vadászati szabály a FREEFIRE minták észlelésére az OP kód sorozatok segítségével a getLastRecord metódusban" md5 = "eb842a9509dece779d138d2e6b0f6949" kártevő_család = "FREEFIRE" karakterláncok: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ??
?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } feltétel: uint16(0) == 0x5A4D és filesize >= 5KB és pe.imports("mscoree.dll") és mindegyikük }

Néhány emlékeztető a Citrix NetScaler sebezhetőség CVE-2023-4966 elleni védekezéshez

Az eredmények egybeesése hangsúlyozza a szervezetek számára sürgős szükségességét annak, hogy átfogó incidenskezelési megközelítést alkalmazzanak. Egyszerűen az elérhető biztonsági frissítések alkalmazása nem elegendő a meglévő megsértések kezeléséhez. Az a tény, hogy elengedhetetlen az összes aktív munkamenet bezárása, különben azok kihasználhatók maradnak, egyszerűen nem hangsúlyozható eléggé. Egy teljes körű válasz elengedhetetlen a megsértés korlátozásához, az áttörés mértékének felméréséhez, és szükség esetén azoknak a lépéseknek az elindításához, amelyek a rendszer helyreállításához szükségesek.

Mandiant remediation útmutatója és más kiadványai alapvető gyakorlati lépéseket kínálnak azoknak a szervezeteknek, amelyek nehéz utókiaknázási helyzetekkel küzdenek. A kormányzati szervezetek világszerte átadják ezeket az ajánlásokat, figyelmeztetéseket és védelmi folyamatokat annak érdekében, hogy megállítsák ezeket a támadásokat.

TSplus Advanced Security - A legjobb védelem a Citrix Bleed és egyéb támadások ellen

Hiszünk abban, hogy 360° kibervédelmünk, TSplus Advanced Security A TSplus Advanced Security egy erős és mindenre kiterjedő válasz ezekre az aktuális aggodalmakra.

Ez a átfogó biztonsági eszköz egy sokoldalú megközelítést kínál az IT rendszerek védelméhez, védekezve számos fenyegetés ellen, beleértve a zero-day kihasználásokat, a kártékony szoftvereket és az engedély nélküli hozzáféréseket.

TSplus Advanced Security a teljes körű távoli szoftvercsomag részeként

Az egyik fő előnye TSplus Advanced Security a képességében rejlik, hogy megerősítse szervezetének IT infrastruktúráját olyan sebezhetőségek ellen, mint például a CVE-2023-4966, amelyek messzire ható hatással bírnak. Lehetővé teszi a vállalkozások számára, hogy biztonságossá tegyék rendszereiket az engedély nélküli hozzáférés megakadályozásával és a kiberbiztonsági fenyegetések hatékony csökkentésével.

Ezenkívül a szélesebb TSplus szoftvercsomag értékes funkciókat kínál, amelyek kiegészítik a TSplus Advanced Security-t. Hasonlóan a négy égtájhoz, négy oszlopa van egy távoli hálózatnak: biztonság, hozzáférés, monitorozás és támogatás.

TSplus Távoli hozzáférés a munkamenet kijelentkezéshez és részletes kezeléshez

Először is TSplus Távhozzáférés A funkció olyan munkamenet-kijelentkezési paramétereket tartalmaz, amelyek növelik a biztonságot azzal, hogy biztosítják a felhasználói munkamenetek helyes lezárását. Ez alapvető fontosságú a jogosulatlan hozzáférés kockázatának csökkentése érdekében. Ez a funkció létfontosságú a Citrix Bleed incidens által okozott problémák kezelésében. Azt biztosítja, hogy még a javítás után se maradjanak meg munkamenet-tokensek, így további védelmi réteget nyújtva.

TSplus Szerverfigyelés a szerver és felhasználói munkamenet felügyeletéhez

Továbbá, TSplus Szerver Figyelés Az egyik nélkülözhetetlen eszköz a szervezetek számára. Valóban lehetővé teszi a szerverek és webhelyek egészségének valós idejű monitorozását. A Citrix Bleed vagy hasonló sebezhetőségek kontextusában a Szerverfigyelés lehetővé teszi a problémák gyors azonosítását, ezáltal könnyebbé téve az időben történő hibaelhárítást és helyreállítást. Ez a proaktív megközelítés alapvető fontosságú az IT rendszerek integritásának fenntartásához és a megsértések megelőzéséhez.

TSplus Távoli Támogatás Távoli Vezérléshez, Javításhoz és Képzéshez

Végül TSplus Remote Support jelentős szerepet játszik a kiberbiztonsági kihívások kezelésében. Lehetővé teszi a távoli segítségnyújtást és felügyelet nélküli beavatkozást bármilyen IT probléma esetén, biztosítva a gyors megoldást és minimalizálva az folyamatos sebezhetőségekkel járó kockázatokat. Legyen szó egy Citrix sebezhetőség hibaelhárításáról vagy bármely más IT probléma kezeléséről, a TSplus távoli támogatása lehetővé teszi a szervezetek számára, hogy gyorsan, hatékonyan és biztonságosan reagáljanak bárhonnan.

Következtetés

Összefoglalva, a TSplus Advanced Security nagyszerű eszköz az ilyen sebezhetőségek ellen. Ráadásul a szoftvercsomag többi részével kombinálva egy robusztus védelmi vonalat alkot a kiberbiztonsági fenyegetések minden fajtája ellen, miközben részletes kezelést, valós idejű megfigyelést és gyors reagálási képességeket kínál. Mit kérhetnél még az IT infrastruktúrád védelme és a vállalati érzékeny adatok megóvása érdekében?

Szeretné védeni vállalata IT infrastruktúráját a kiber-támadások ellen, vagy teljes egészében lecserélné a Citrix-et, lépjen kapcsolatba ma telefonon, e-mailben vagy weboldalunkon keresztül és szerezze meg árajánlatát vagy próbaverzióját másodpercek alatt vagy néhány kattintással.

További olvasmányok

back to top of the page icon