Vuoi vedere il sito in un'altra lingua?
TSPLUS BLOG
Leggi come la vulnerabilità Citrix Bleed CVE-2023-4966 sta causando notti insonni in alcuni ambiti, le raccomandazioni conseguenti e le nostre soluzioni e protezioni per difendere la tua infrastruttura remota contro tali pericoli.
)
Le notizie informatiche sono composte da storie sempre più spaventose e preoccupanti delle precedenti, un tema adatto per la fine di ottobre. Citrix Bleed non fa eccezione. Dopo una vulnerabilità precedente e una patch all'inizio dell'estate, Citrix ha fatto notizia per gran parte di quest'autunno con notizie di infiltrazioni in grandi reti aziendali e governative. Ecco come la vulnerabilità Citrix Bleed CVE-2023-4966 sta causando notti insonni in alcuni ambiti, con conseguenti raccomandazioni e le nostre soluzioni e protezioni per difendere la tua infrastruttura remota contro tali pericoli. Le notizie non sono tutte negative.
Citrix Bleed, un bug critico di divulgazione delle informazioni che colpisce NetScaler ADC e NetScaler Gateway, è stato oggetto di "sfruttamento di massa", con migliaia di server Citrix vulnerabili ancora online nonostante il rilascio di una patch il 10 ottobre. Da allora, ondate regolari di notizie ci hanno ricordato che la vulnerabilità consente ancora agli attaccanti di accedere alla memoria dei dispositivi esposti. Lì, gli attacchi estraggono i token di sessione per accessi non autorizzati, anche dopo che la patch è stata applicata.
I gruppi di ransomware hanno sfruttato questa vulnerabilità e Mandiant sta monitorando più gruppi che prendono di mira vari settori a livello globale. Il governo degli Stati Uniti l'ha classificata come una vulnerabilità sfruttata sconosciuta. Mandiant, di proprietà di Google, sottolinea la necessità di terminare tutte le sessioni attive per una mitigazione efficace. Il bug è stato sfruttato dalla fine di agosto, con i criminali che lo utilizzano per spionaggio informatico. Si prevede che gli attori della minaccia finanziaria lo sfruttino, quindi è ancora più importante fermare Citrix Bleed prima che sia troppo tardi.
Sembra che, al 30 ottobre, siano stati lasciati oltre 5.000 server vulnerabili esposti su Internet pubblico. GreyNoise ha osservato 137 indirizzi IP individuali che tentavano di sfruttare questa vulnerabilità di Citrix nell'ultima settimana. Nonostante la pronta divulgazione di Citrix e l'emissione di una patch (CVE-2023-4966) il 10 ottobre, la situazione è rapidamente degenerata. Anche dopo aver applicato la patch, i token di sessione sono persistere, lasciando i sistemi vulnerabili allo sfruttamento. La gravità della situazione è sottolineata dal fatto che, come temuto, i gruppi di ransomware hanno colto l'opportunità di sfruttare questa vulnerabilità, distribuendo script Python per automatizzare la catena di attacco.
Questi attacchi hanno assunto una natura multifaccettata man mano che sono progrediti oltre l'iniziale sfruttamento. Gli attaccanti sembravano inizialmente impegnati in un riconoscimento della rete. Tuttavia, gli obiettivi si sono ovviamente estesi al furto di credenziali di account critici e hanno mostrato un movimento laterale attraverso le reti compromesse. In questa fase, hanno impiegato un insieme diversificato di strumenti, dimostrando un approccio ben orchestrato alle loro attività malevole.
Coloro che stanno dietro a queste campagne hanno dimostrato un alto livello di sofisticazione nel loro approccio, impiegando una vasta gamma di strumenti e tecniche per raggiungere i loro obiettivi. Gli attaccanti hanno utilizzato richieste HTTP GET appositamente create per costringere l'apparecchiatura Citrix a rivelare i contenuti della memoria di sistema, inclusi i cookie di sessione AAA Netscaler validi. Questo ha permesso loro di eludere l'autenticazione multifattoriale, rendendo la loro intrusione ancora più insidiosa.
Uno strumento notevole nel loro arsenale è FREEFIRE, un nuovo backdoor leggero .NET che utilizza Slack per il comando e il controllo. Questo è l'unico strumento insolito nell'arsenale. Gli attacchi hanno sfruttato molti processi standard e nativi, con l'aggiunta degli strumenti di accesso e gestione remota di uso comune Atera, AnyDesk e SplashTop. Questo dimostra quanto duramente gli hacker abbiano lavorato per rimanere invisibili alla rilevazione. Infatti, mentre singolarmente, questi strumenti si trovano generalmente in ambienti aziendali legittimi, solo il loro dispiegamento combinato da parte degli attori della minaccia funge da segnale d'allerta significativo. A meno che il tuo software di sicurezza e il tuo team non stiano cercando questa combinazione indicativa di una compromissione, passerebbe inosservata.
Ecco l'elenco degli strumenti che gli hacker hanno utilizzato per recuperare informazioni sulle sessioni e muoversi orizzontalmente attraverso le reti (così come i loro scopi descritti da Bleeping Computer):
Come probabilmente concordi, non c'è nulla di strano a meno che tu non li trovi tutti combinati. Tranne uno, cioè: FREEFIRE.
Vale la pena notare che, sebbene alcuni di questi strumenti siano comunemente presenti negli ambienti aziendali, il loro utilizzo combinato in queste campagne è un forte indicatore di una violazione. Mandiant ha persino rilasciato una regola Yara utilizzata per rilevare la presenza di FREEFIRE su un dispositivo. Questo strumento è particolarmente prezioso per aiutare le organizzazioni a identificare proattivamente i sistemi compromessi e ad agire rapidamente per mitigare il rischio.
Di seguito, puoi trovare la regola Yara per rilevare FREEFIRE. Tuttavia, se desideri verificare la regola Yara lì o leggere le tecniche MITRE ATT&CK, queste chiudono l'articolo di Mandiant. Lì, puoi anche trovare il loro link alla guida in PDF di Mandiant “Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation”.
)
E la regola come testo:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
La convergenza di queste scoperte evidenzia l'urgente necessità per le organizzazioni di adottare un approccio completo alla risposta agli incidenti. Applicare semplicemente gli aggiornamenti di sicurezza disponibili non è sufficiente per affrontare le violazioni esistenti. È fondamentale chiudere tutte le sessioni attive affinché non rimangano sfruttabili, e questo non può essere sottolineato abbastanza. Una risposta completamente sviluppata è imperativa per contenere la violazione, valutare l'estensione del compromesso e, se necessario, avviare i passaggi richiesti per il ripristino del sistema.
La guida alla rimediazione di Mandiant e altre pubblicazioni offrono passi pratici essenziali per le organizzazioni che affrontano questi difficili scenari post-sfruttamento. Le organizzazioni governative a livello globale stanno trasmettendo queste raccomandazioni, avvertimenti e processi di salvaguardia nel tentativo di fermare questi attacchi.
Siamo convinti che la nostra protezione informatica a 360°. TSplus Advanced Security è senza pari nel proteggere la tua azienda e l'infrastruttura IT contro questa minaccia e altre. Infatti, vulnerabilità come l'exploit Citrix Bleed evidenziano l'inadeguatezza della cybersecurity in troppi contesti e infrastrutture. Pertanto, le aziende devono dare priorità a soluzioni complete per proteggere la loro infrastruttura IT e i dati sensibili. TSplus Advanced Security si presenta come una risposta robusta e globale a queste preoccupazioni urgenti.
Questo strumento di sicurezza completo offre un approccio multifaccettato per garantire la protezione dei sistemi IT, difendendoli da una vasta gamma di minacce, inclusi exploit zero-day, malware e accesso non autorizzato.
Uno dei principali vantaggi di TSplus Advanced Security sta nella sua capacità di rafforzare l'infrastruttura IT della tua organizzazione contro vulnerabilità come CVE-2023-4966, che hanno un impatto di vasta portata. Consente alle aziende di proteggere i propri sistemi prevenendo accessi non autorizzati e mitigando efficacemente le minacce informatiche.
Inoltre, la più ampia suite di software TSplus offre funzionalità preziose che completano TSplus Advanced Security. Allo stesso modo dei quattro punti cardinali, abbiamo quattro pilastri per una rete remota: sicurezza, accesso, monitoraggio e supporto.
Innanzitutto, TSplus Remote Access , quindi, include parametri di disconnessione della sessione che migliorano la sicurezza garantendo che le sessioni utente vengano terminate correttamente. Fondamentale, questo riduce il rischio di accesso non autorizzato. Questa funzionalità è vitale per affrontare problemi correlati come quelli causati dagli exploit dell'incidente Citrix Bleed. Garantendo che nessun token di sessione persista, anche dopo la correzione, fornisce un ulteriore livello di protezione.
In aggiunta, TSplus Server Monitoring è uno strumento indispensabile per le organizzazioni. Infatti, consente di monitorare la salute dei loro server e siti web in tempo reale. Nel contesto di Citrix Bleed o vulnerabilità simili, il Server Monitoring consente un'identificazione rapida dei problemi, rendendo più facile avviare una risoluzione e una riparazione tempestive. Questo approccio proattivo è essenziale per mantenere l'integrità dei sistemi IT e prevenire le violazioni.
Infine, TSplus Remote Support svolge un ruolo fondamentale nell'affrontare le sfide della cybersecurity. Facilita l'assistenza remota e l'intervento non presidiato per qualsiasi problema IT, garantendo una rapida risoluzione e riducendo al minimo i rischi associati alle vulnerabilità in corso. Che si tratti di risolvere una vulnerabilità di Citrix o di affrontare qualsiasi altra preoccupazione IT, TSplus Remote Support consente alle organizzazioni di rispondere rapidamente, efficacemente e in sicurezza, da qualsiasi luogo.
In sintesi, TSplus Advanced Security è un ottimo strumento contro tali vulnerabilità. E, in combinazione con il resto della suite software, forma una solida linea di difesa contro le minacce informatiche di ogni tipo, offrendo anche gestione granulare, monitoraggio in tempo reale e capacità di risposta rapida. Cosa potresti chiedere di più per proteggere le tue infrastrutture IT e salvaguardare i dati sensibili dell'azienda.
Se desideri proteggere l'infrastruttura IT della tua azienda contro gli attacchi informatici o vuoi sostituire Citrix completamente, contattaci oggi telefonicamente, via email o attraverso il nostro sito web e ottieni il tuo preventivo o prova in pochi secondi o con pochi clic.
Il tuo team TSplus
Soluzioni di accesso remoto semplici, robuste e convenienti per professionisti IT.
La cassetta degli attrezzi definitiva per servire meglio i tuoi clienti Microsoft RDS.
Contattaci
Post correlati
)
Cos'è la sicurezza degli endpoint? Questo articolo mira a responsabilizzare i decisori e gli agenti IT a migliorare le loro misure di cybersicurezza in materia di protezione degli endpoint, garantendo un'elevata produttività operativa e la protezione dei dati critici.
)
Questo articolo fornisce un'analisi approfondita sulla sicurezza delle porte RDP, su misura per il professionista IT esperto.
)
Questo articolo approfondisce il concetto di sicurezza del gateway, la sua importanza e come può essere implementato in modo efficace.
)
Questo articolo approfondisce gli aspetti tecnici su come proteggere RDP dai ransomware, garantendo che i professionisti IT possano proteggere le loro reti da queste minacce.
