)
)
)
)
Come proteggere la porta RDP
Questo articolo offre un'analisi approfondita sulla sicurezza delle porte RDP, su misura per il professionista IT esperto di tecnologia.
)
)
Le notizie informatiche sono fatte di storie sempre più spaventose e preoccupanti rispetto alle precedenti, un tema adatto per la fine di ottobre. Citrix Bleed non fa eccezione. Dopo una precedente vulnerabilità e una patch all'inizio dell'estate, Citrix è stata al centro dell'attenzione per gran parte di questo autunno con notizie di incursioni in grandi reti aziendali e governative. Ecco come la vulnerabilità Citrix Bleed CVE-2023-4966 sta causando notti insonni in alcune sfere, le raccomandazioni conseguenti e le nostre soluzioni e protezioni per difendere la tua infrastruttura remota da tali pericoli. Le notizie non sono tutte negative.
Citrix NetScaler ADC e NetScaler Gateway sotto attacco
Citrix Bleed, un bug critico di divulgazione delle informazioni che colpisce NetScaler ADC e NetScaler Gateway, è stato oggetto di "sfruttamento di massa", con migliaia di server Citrix vulnerabili ancora online nonostante il rilascio di una patch il 10 ottobre. Da allora, ondate regolari di notizie ci hanno ricordato che la vulnerabilità consente ancora agli attaccanti di accedere alla memoria dei dispositivi esposti. Lì, gli attacchi estraggono i token di sessione per l'accesso non autorizzato, anche dopo l'applicazione della patch.
Le bande di ransomware hanno sfruttato questa vulnerabilità e Mandiant sta monitorando più gruppi che prendono di mira vari settori a livello globale. Il governo degli Stati Uniti l'ha classificata come una vulnerabilità sconosciuta sfruttata. Mandiant, di proprietà di Google, sottolinea la necessità di terminare tutte le sessioni attive per una mitigazione efficace. Il bug è stato sfruttato dalla fine di agosto, con i criminali che lo utilizzano per il cyber spionaggio. Si prevede che gli attori delle minacce finanziarie lo sfruttino, quindi è tanto più importante fermare Citrix Bleed prima che sia troppo tardi.
Vulnerabilità CVE-2023-4966 in corso nonostante la patch
Sembra che, al 30 ottobre, fossero rimasti oltre 5.000 server vulnerabili esposti su internet pubblico. GreyNoise ha osservato 137 indirizzi IP individuali che tentavano di sfruttare questa vulnerabilità di Citrix nell'ultima settimana. Nonostante la pronta divulgazione di Citrix e l'emissione di una patch (CVE-2023-4966) il 10 ottobre, la situazione è rapidamente degenerata. Anche dopo l'applicazione della patch, i token di sessione persistevano, lasciando i sistemi vulnerabili allo sfruttamento. La gravità della situazione è sottolineata dal fatto che, come temuto, le bande di ransomware hanno colto l'opportunità di sfruttare questa vulnerabilità, distribuendo script python per automatizzare la catena di attacco.
Strumenti e passaggi strategicamente pensati per gli attacchi
Questi attacchi hanno assunto una natura multifaccettata man mano che progredivano oltre lo sfruttamento iniziale. Gli aggressori sembravano inizialmente impegnati in una ricognizione della rete. Tuttavia, gli obiettivi si sono chiaramente estesi al furto di credenziali di account critici e hanno mostrato un movimento laterale attraverso le reti compromesse. In questa fase, hanno impiegato un insieme diversificato di strumenti, dimostrando un approccio ben orchestrato alle loro attività dannose.
Coloro che stanno dietro queste campagne hanno dimostrato un alto livello di sofisticazione nel loro approccio, impiegando una vasta gamma di strumenti e tecniche per raggiungere i loro obiettivi. Gli aggressori hanno utilizzato richieste HTTP GET appositamente create per costringere l'appliance Citrix a rivelare i contenuti della memoria di sistema, inclusi i cookie di sessione Netscaler AAA validi. Questo ha permesso loro di bypassare l'autenticazione multifattore, rendendo la loro intrusione ancora più insidiosa.
Attenzione alla combinazione specifica degli strumenti
Uno strumento notevole nel loro arsenale è FREEFIRE, un nuovo backdoor leggero .NET che utilizza Slack per il comando e il controllo. Questo è l'unico strumento insolito nell'arsenale. Gli attacchi hanno sfruttato molti processi standard e nativi, con l'aggiunta degli strumenti di accesso e gestione desktop remoto comuni Atera, AnyDesk e SplashTop. Questo dimostra quanto duramente i hacker abbiano lavorato per rimanere invisibili alla rilevazione. Infatti, mentre individualmente questi strumenti si trovano generalmente in ambienti aziendali legittimi, solo il loro dispiegamento combinato da parte degli attori della minaccia serve come un significativo campanello d'allarme. A meno che il vostro software di sicurezza e il vostro team non stiano cercando questa combinazione indicativa di una compromissione, passerebbe inosservata.
Ecco l'elenco degli strumenti che gli hacker hanno utilizzato per recuperare informazioni sulle sessioni e muoversi orizzontalmente attraverso le reti (così come descritto da Bleeping Computer):
- net.exe – Ricognizione di Active Directory (AD);
- netscan.exe – enumerazione della rete interna
- 7-zip – creare un archivio segmentato crittografato per comprimere i dati di ricognizione;
- certutil – codificare (base64) e decodificare file di dati e distribuire backdoor;
- e.exe e d.dll – caricare nella memoria del processo LSASS e creare file di dump della memoria;
- sh3.exe – eseguire il comando Mimikatz LSADUMP per l'estrazione delle credenziali;
- FREEFIRE – nuovo backdoor leggero .NET che utilizza Slack per il comando e controllo;
- Atera – Monitoraggio e gestione remota
- AnyDesk – Desktop remoto;
- SplashTop – Desktop remoto.
Come probabilmente sei d'accordo, niente di particolarmente spiacevole a meno che non li trovi tutti combinati. Tranne uno, cioè: FREEFIRE.
FREEFIRE in particolare utilizzato dagli hacker in Citrix Bleed
Vale la pena notare che, sebbene alcuni di questi strumenti siano comunemente presenti negli ambienti aziendali, il loro uso combinato in queste campagne è un forte indicatore di una violazione. Mandiant ha persino rilasciato una regola Yara utilizzata per rilevare la presenza di FREEFIRE su un dispositivo. Questo strumento è particolarmente prezioso per aiutare le organizzazioni a identificare proattivamente i sistemi compromessi e ad agire rapidamente per mitigare il rischio.
Di seguito, puoi trovare la regola Yara per rilevare FREEFIRE. Tuttavia, se desideri verificare la regola Yara lì o leggere le tecniche MITRE ATT&CK, chiudi l'articolo di Mandiant. Lì, puoi anche trovare il loro link alla guida di Mandiant “Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation” in PDF.
Le regole Yara di Mandiant per cacciare FREEFIRE nel contesto di Citrix Bleed
)
E la regola come testo:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Alcuni promemoria per difendersi dalla vulnerabilità Citrix NetScaler CVE-2023-4966
La convergenza di questi risultati evidenzia la necessità urgente per le organizzazioni di adottare un approccio completo alla risposta agli incidenti. Semplicemente applicare gli aggiornamenti di sicurezza disponibili è insufficiente per affrontare le violazioni esistenti. Il fatto che sia essenziale chiudere tutte le sessioni attive affinché non rimangano sfruttabili non può essere sufficientemente sottolineato. Una risposta completa è imperativa per contenere la violazione, valutare l'entità del compromesso e, dove necessario, avviare i passaggi richiesti per il ripristino del sistema.
La guida di rimedio di Mandiant e altre pubblicazioni offrono passaggi pratici essenziali per le organizzazioni che affrontano questi scenari post-sfruttamento difficili. Le organizzazioni governative a livello globale stanno trasmettendo queste raccomandazioni, avvertimenti e processi di salvaguardia nel tentativo di fermare questi attacchi.
TSplus Advanced Security - La migliore protezione contro Citrix Bleed e altri attacchi
Siamo convinti della nostra protezione informatica a 360° TSplus Advanced Security , è impareggiabile nel proteggere la tua azienda e l'infrastruttura IT contro questa minaccia e altre. Infatti, vulnerabilità come l'exploit Citrix Bleed indicano l'inadeguatezza della cybersecurity in troppi contesti e infrastrutture. Pertanto, le aziende devono dare priorità a soluzioni complete per salvaguardare la loro infrastruttura IT e i dati sensibili. TSplus Advanced Security si presenta come una risposta robusta e completa a queste preoccupazioni urgenti.
Questo strumento di sicurezza completo offre un approccio multifacetico per garantire la protezione dei sistemi IT, proteggendo da una vasta gamma di minacce, inclusi exploit zero-day, malware e accessi non autorizzati.
TSplus Advanced Security come parte di una suite software remota olistica
Uno dei principali vantaggi di TSplus Advanced Security risiede nella sua capacità di rafforzare l'infrastruttura IT della tua organizzazione contro vulnerabilità come CVE-2023-4966, che hanno un impatto di vasta portata. Consente alle aziende di proteggere i propri sistemi impedendo l'accesso non autorizzato e mitigando efficacemente le minacce alla cybersecurity.
Inoltre, la più ampia suite software TSplus offre funzionalità inestimabili che completano TSplus Advanced Security. Analogamente ai quattro punti cardinali, abbiamo quattro pilastri per una rete remota: sicurezza, accesso, monitoraggio e supporto.
TSplus Remote Access per disconnessione della sessione e gestione granulare
Innanzitutto TSplus Remote Access , quindi, include parametri di disconnessione della sessione che migliorano la sicurezza garantendo che le sessioni degli utenti siano correttamente terminate. Fondamentale, questo riduce il rischio di accessi non autorizzati. Questa funzione è vitale per affrontare problemi correlati come quelli causati dagli exploit dell'incidente Citrix Bleed. Garantendo che nessun token di sessione persista, anche dopo la correzione, fornisce un ulteriore livello di protezione.
Monitoraggio del Server TSplus per la Sorveglianza del Server e delle Sessioni Utente
In aggiunta TSplus Server Monitoring è uno strumento indispensabile per le organizzazioni. Infatti, consente di monitorare lo stato di salute dei loro server e siti web in tempo reale. Nel contesto di Citrix Bleed o vulnerabilità simili, Server Monitoring permette di identificare rapidamente i problemi, rendendo così più facile avviare tempestivamente la risoluzione dei problemi e la correzione. Questo approccio proattivo è essenziale per mantenere l'integrità dei sistemi IT e prevenire violazioni.
TSplus Remote Support per Controllo a Distanza, Riparazione e Formazione
Infine TSplus Remote Support svolge un ruolo fondamentale nell'affrontare le sfide della sicurezza informatica. Facilita l'assistenza remota e l'intervento non presidiato per qualsiasi problema IT, garantendo una rapida risoluzione e minimizzando i rischi associati alle vulnerabilità in corso. Che si tratti di risolvere una vulnerabilità di Citrix o di affrontare qualsiasi altra preoccupazione IT, TSplus Remote Support consente alle organizzazioni di rispondere in modo rapido, efficace e sicuro, da qualsiasi luogo.
Come conclusione alla vulnerabilità Citrix Bleed CVE-2023-4966 che persiste nonostante le patch
In sintesi, TSplus Advanced Security è un ottimo strumento contro tali vulnerabilità. E, in combinazione con il resto della suite software, forma una linea di difesa robusta contro le minacce alla sicurezza informatica di ogni tipo, offrendo anche gestione granulare, monitoraggio in tempo reale e capacità di risposta rapida. Cosa si può chiedere di più per proteggere le tue infrastrutture IT e salvaguardare i dati sensibili dell'azienda.
Che tu voglia salvaguardare l'infrastruttura IT della tua azienda contro gli attacchi informatici o sostituire completamente Citrix, contattaci oggi per telefono, email o tramite il nostro sito web e ottieni il tuo preventivo o prova in pochi secondi o con pochi clic
)
)
)
