Apakah Anda ingin melihat situs ini dalam bahasa lain?
Blog TSplus
Baca bagaimana kerentanan Citrix Bleed CVE-2023-4966 menyebabkan malam yang tak nyenyak di beberapa bidang, menyusul rekomendasi dan solusi serta perlindungan kami sendiri untuk melindungi infrastruktur remote Anda dari bahaya tersebut.
)
Berita cyber terdiri dari cerita-cerita yang semakin menakutkan dan mengkhawatirkan dari sebelumnya, tema yang cocok untuk akhir Oktober. Citrix Bleed tidak terkecuali. Setelah kerentanan sebelumnya dan pembaruan pada awal musim panas, Citrix telah menjadi headline sebagian besar musim gugur ini dengan berita tentang penetrasi ke jaringan perusahaan besar dan pemerintah. Inilah bagaimana kerentanan Citrix Bleed CVE-2023-4966 menyebabkan malam yang tak nyenyak di beberapa bidang, rekomendasi yang menyusul, dan solusi serta perlindungan kami sendiri untuk melindungi infrastruktur remote Anda dari bahaya tersebut. Berita ini tidak semuanya buruk.
Citrix Bleed, sebuah bug pengungkapan informasi kritis yang memengaruhi NetScaler ADC dan NetScaler Gateway, telah menjadi "eksploitasi massal," dengan ribuan server Citrix yang rentan masih online meskipun patch dirilis pada 10 Oktober. Sejak itu, gelombang berita reguler telah mengingatkan kita bahwa kerentanan masih memungkinkan penyerang untuk mengakses memori perangkat yang terbuka. Di sana, serangan mengekstrak token sesi untuk akses tanpa izin, bahkan setelah patch diterapkan.
Geng Ransomware telah memanfaatkan kerentanan ini dan Mandiant sedang melacak beberapa kelompok yang menargetkan berbagai sektor secara global. Pemerintah AS telah mengklasifikasikannya sebagai kerentanan yang dieksploitasi yang tidak diketahui. Mandiant yang dimiliki oleh Google menekankan perlunya mengakhiri semua sesi aktif untuk mitigasi yang efektif. Bug ini telah dieksploitasi sejak akhir Agustus, dengan para penjahat menggunakannya untuk spionase cyber. Pelaku ancaman keuangan diharapkan akan memanfaatkannya, sehingga sangat penting untuk menghentikan Citrix Bleed sebelum terlambat.
Tampaknya, pada tanggal 30 Oktober, telah meninggalkan lebih dari 5.000 server rentan terbuka di internet publik. GreyNoise mengamati 137 alamat IP individu yang mencoba mengeksploitasi kerentanan Citrix ini dalam seminggu terakhir. Meskipun pengungkapan dan penerbitan patch Citrix yang cepat (CVE-2023-4966) pada tanggal 10 Oktober, situasi tersebut meningkat dengan cepat. Bahkan setelah menerapkan patch, token sesi tetap ada, meninggalkan sistem rentan terhadap eksploitasi. Keparahan situasi ini ditekankan oleh kenyataan bahwa, seperti yang ditakuti, kru ransomware telah melompat pada kesempatan untuk mengeksploitasi kerentanan ini, mendistribusikan skrip python untuk mengotomatisasi rantai serangan.
Serangan-serangan ini telah mengenakan sifat yang beragam seiring dengan berkembangnya di luar eksploitasi awal. Para penyerang tampaknya awalnya terlibat dalam rekognisi jaringan. Namun, tujuan jelas telah diperluas ke pencurian kredensial akun penting dan menunjukkan pergerakan lateral melalui jaringan yang tercompromi. Pada fase ini, mereka menggunakan beragam set alat, menunjukkan pendekatan yang terorganisir dengan baik terhadap aktivitas jahat mereka.
Mereka di balik kampanye-kampanye ini telah menunjukkan tingkat kecanggihan yang tinggi dalam pendekatan mereka, menggunakan berbagai alat dan teknik untuk mencapai tujuan mereka. Penyerang menggunakan permintaan HTTP GET yang dirancang khusus untuk memaksa perangkat Citrix untuk mengungkapkan isi memori sistem, termasuk cookie sesi Netscaler AAA yang valid. Hal ini telah memungkinkan mereka untuk melewati otentikasi multi faktor, membuat intrusi mereka bahkan lebih berbahaya.
Salah satu alat yang mencolok dalam arsenal mereka adalah FREEFIRE, sebuah backdoor ringan .NET yang baru menggunakan Slack untuk perintah dan kontrol. Ini adalah satu-satunya alat yang tidak biasa dalam arsenal. Serangan menggunakan banyak proses standar dan asli, dengan tambahan akses desktop jarak jauh dan alat manajemen Atera, AnyDesk, dan SplashTop. Hal ini menunjukkan seberapa keras para peretas bekerja untuk tetap tidak terdeteksi. Memang, sedangkan secara individu, alat-alat ini umumnya ditemukan dalam lingkungan perusahaan yang sah, hanya penyebaran gabungan oleh pelaku ancaman yang berfungsi sebagai bendera merah yang signifikan. Kecuali perangkat lunak keamanan dan tim Anda mencari kombinasi ini yang menunjukkan kompromi, hal itu akan luput dari perhatian.
Berikut adalah daftar alat yang telah digunakan oleh para peretas untuk mengambil informasi sesi dan bergerak secara horizontal melalui jaringan (serta tujuan mereka seperti yang dijelaskan oleh Bleeping Computer):
Seperti yang mungkin Anda setujui, tidak ada yang terlalu buruk kecuali jika Anda menemukan semuanya digabungkan. Kecuali satu, yaitu: FREEFIRE.
Perlu dicatat bahwa sementara beberapa alat ini umumnya ditemukan di lingkungan perusahaan, penggunaan kombinasi mereka dalam kampanye-kampanye ini adalah indikator kuat dari pelanggaran. Mandiant bahkan telah merilis aturan Yara yang digunakan untuk mendeteksi keberadaan FREEFIRE pada perangkat. Alat ini sangat berharga dalam membantu organisasi mengidentifikasi sistem yang kompromi secara proaktif dan mengambil tindakan cepat untuk mengurangi risiko.
Di bawah ini, Anda dapat menemukan aturan Yara untuk mendeteksi FREEFIRE. Namun, jika Anda ingin memverifikasi aturan Yara di sana atau membaca teknik MITRE ATT&CK, tutuplah artikel Mandiant. Di sana, Anda juga dapat menemukan tautan mereka ke panduan "Citrix NetScaler ADC/Gateway: Penyembuhan CVE-2023-4966" dari Mandiant dalam format PDF.
)
Dan aturan sebagai teks:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "Ini adalah aturan berburu untuk mendeteksi sampel FREEFIRE menggunakan urutan kode OP dalam metode getLastRecord" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D dan filesize >= 5KB dan pe.imports("mscoree.dll") dan semuanya }
Konvergensi temuan ini menyoroti kebutuhan mendesak bagi organisasi untuk mengadopsi pendekatan respons insiden yang komprehensif. Hanya menerapkan pembaruan keamanan yang tersedia tidak mencukupi dalam mengatasi pelanggaran yang ada. Fakta bahwa penting untuk menutup semua sesi aktif agar tidak dapat dieksploitasi tidak dapat cukup ditekankan. Respons yang lengkap diperlukan untuk mengendalikan pelanggaran, menilai sejauh mana kompromi, dan jika perlu memulai langkah-langkah yang diperlukan untuk pemulihan sistem.
Panduan perbaikan Mandiant dan publikasi lainnya menawarkan langkah-langkah praktis yang penting bagi organisasi yang menghadapi skenario eksploitasi pasca yang menantang ini. Organisasi pemerintah di seluruh dunia meneruskan rekomendasi, peringatan, dan proses perlindungan ini dalam upaya untuk menghentikan serangan-serangan ini.
Kami yakin perlindungan siber 360° kami, TSplus Advanced Security TSplus Advanced Security adalah tak tertandingi untuk melindungi bisnis dan infrastruktur TI Anda dari ancaman ini dan lainnya. Memang, kerentanan seperti eksploitasi Citrix Bleed menunjukkan ketidakcukupan keamanan cyber di terlalu banyak konteks dan infrastruktur. Oleh karena itu, bisnis harus memprioritaskan solusi komprehensif untuk melindungi infrastruktur TI dan data sensitif mereka. TSplus Advanced Security merupakan jawaban yang kuat dan menyeluruh atas kekhawatiran mendesak ini.
Alat keamanan komprehensif ini menawarkan pendekatan multifaset untuk memastikan perlindungan sistem IT, melindungi dari berbagai ancaman, termasuk eksploitasi zero-day, malware, dan akses tidak sah.
Salah satu manfaat utama TSplus Advanced Security terletak pada kemampuannya untuk memperkuat infrastruktur TI organisasi Anda terhadap kerentanan seperti CVE-2023-4966, yang memiliki dampak yang luas. Ini memungkinkan bisnis untuk mengamankan sistem mereka dengan mencegah akses yang tidak sah dan secara efektif mengurangi ancaman keamanan cyber.
Selain itu, paket perangkat lunak TSplus yang lebih luas menawarkan fitur berharga yang melengkapi TSplus Advanced Security. Demikian pula dengan empat titik utama, kami memiliki empat pilar untuk jaringan remote: keamanan, akses, pemantauan, dan dukungan.
Pertama, TSplus Remote Access Ini termasuk parameter logoff sesi yang meningkatkan keamanan dengan memastikan bahwa sesi pengguna diakhiri dengan benar. Terutama, ini mengurangi risiko akses yang tidak sah. Fitur ini sangat penting dalam menangani masalah terkait seperti yang ditimbulkan oleh eksploitasi insiden Citrix Bleed. Dengan memastikan bahwa tidak ada token sesi yang bertahan, bahkan setelah pemasangan patch, ini memberikan lapisan perlindungan tambahan.
Selain itu, TSplus Server Monitoring adalah alat yang tak tergantikan bagi organisasi. Memang, ini memungkinkan Anda untuk memantau kesehatan server dan situs web mereka secara real-time. Dalam konteks kerentanan Citrix Bleed atau serupa, Pemantauan Server memungkinkan identifikasi cepat masalah, yang pada gilirannya memudahkan untuk memulai pemecahan masalah dan perbaikan tepat waktu. Pendekatan proaktif ini penting untuk menjaga integritas sistem TI dan mencegah pelanggaran.
Terakhir, TSplus Remote Support memainkan peran penting dalam mengatasi tantangan keamanan cyber. Ini memfasilitasi bantuan jarak jauh dan intervensi tanpa pengawasan untuk masalah TI apa pun, memastikan penyelesaian yang cepat dan meminimalkan risiko yang terkait dengan kerentanan yang sedang berlangsung. Baik itu memecahkan masalah kerentanan Citrix atau mengatasi kekhawatiran TI lainnya, Dukungan Jarak Jauh TSplus memberdayakan organisasi untuk merespons dengan cepat, efektif, dan aman, dari mana saja.
Secara ringkas, TSplus Advanced Security adalah alat yang hebat melawan kerentanan semacam itu. Dan, dalam kombinasi dengan sisa paket perangkat lunak, itu membentuk garis pertahanan yang kuat terhadap ancaman keamanan cyber dari semua jenis serta menawarkan manajemen granular, pemantauan waktu nyata, dan kemampuan respons cepat. Apa lagi yang bisa Anda minta untuk mengamankan infrastruktur TI Anda dan melindungi data sensitif perusahaan.
Apakah Anda ingin melindungi infrastruktur TI perusahaan Anda dari serangan cyber atau ingin menggantikan Citrix secara keseluruhan, hubungi kami hari ini melalui telepon, email, atau melalui situs web kami dan dapatkan penawaran atau uji coba Anda dalam hitungan detik atau beberapa klik.
Tim TSplus Anda
Solusi Akses Jarak Jauh yang Sederhana, Tangguh, dan Terjangkau untuk Profesional IT.
Alat Bantu Ultimate untuk Melayani Lebih Baik Klien Microsoft RDS Anda.
Hubungi kami
Pos terkait
)
Apa itu keamanan endpoint? Artikel ini bertujuan untuk memberdayakan pengambil keputusan dan agen TI untuk meningkatkan langkah-langkah keamanan siber mereka dalam mengamankan endpoint, memastikan produktivitas operasional yang tinggi dan perlindungan aset data kritis.
)
Artikel ini memberikan pandangan mendalam tentang mengamankan port RDP Anda, disesuaikan untuk profesional IT yang paham teknologi.
)
Artikel ini membahas konsep keamanan gateway, pentingnya, dan bagaimana cara mengimplementasikannya secara efektif.
)
Artikel ini membahas secara mendalam aspek teknis tentang cara mengamankan RDP dari ransomware, memastikan bahwa profesional TI dapat melindungi jaringan mereka dari ancaman ini.
