)
)
)
)
RDPポートのセキュリティ方法
この記事は、技術に精通したITプロフェッショナル向けにRDPポートのセキュリティを強化するための詳細なガイドを提供します。
)
)
サイバー ニュースは、10月の終わりにふさわしいテーマで、前のものよりもさらに恐ろしい話や心配な話で構成されています。Citrix Bleedも例外ではありません。初夏の初めに脆弱性とパッチが発見された後、Citrixはこの秋のほとんどの期間、大企業や政府ネットワークへの侵入のニュースで注目を集めています。ここでは、Citrix Bleed脆弱性CVE-2023-4966がいくつかの分野で不眠の夜を引き起こしている理由、推奨される対策、そしてこのような危険からリモートインフラを守るための私たち独自のソリューションと保護について説明します。ニュースはすべて悪いわけではありません。
Citrix NetScaler ADCおよびNetScaler Gatewayが非難の的に
Citrix Bleedという、NetScaler ADCおよびNetScaler Gatewayに影響を与える重大な情報漏洩バグが「大量に悪用」されており、10月10日にパッチがリリースされたにもかかわらず、数千の脆弱なCitrixサーバーが依然としてオンラインのままです。それ以来、定期的なニュースの波が、この脆弱性が依然として攻撃者に公開されたデバイスのメモリにアクセスさせていることを思い出させています。そこでは、攻撃によりパッチが適用された後でも、不正アクセスのためのセッショントークンが抽出されます。
ランサムウェアのギャングはこの脆弱性を悪用しており、Mandiantはさまざまなセクターを標的とする複数のグループを追跡しています。米国政府はこれを未知の悪用された脆弱性として分類しています。Google傘下のMandiantは、効果的な緩和のためにすべてのアクティブセッションを終了する必要があると強調しています。このバグは8月下旬から悪用されており、犯罪者はサイバースパイ活動に使用しています。金融脅威アクターが悪用することが予想されているため、手遅れになる前にCitrix Bleedを止めることがますます重要です。
パッチ適用にもかかわらずCVE-2023-4966の脆弱性が継続中
10月30日時点で、5,000以上の脆弱なサーバーがパブリックインターネット上に露出していたようです。GreyNoiseは、過去1週間で137の個別のIPアドレスがこのCitrixの脆弱性を悪用しようとしているのを観測しました。Citrixが迅速に開示し、10月10日にパッチ(CVE-2023-4966)を発行したにもかかわらず、状況は急速に悪化しました。パッチを適用した後でも、セッショントークンが残り、システムが悪用される可能性がありました。懸念されていた通り、ランサムウェアのグループがこの脆弱性を悪用する機会を逃さず、攻撃チェーンを自動化するためのpythonスクリプトを配布している事実が、事態の深刻さを物語っています。
攻撃のための戦略的に考え抜かれたツールと手順
これらの攻撃は、初期の悪用を超えて進展するにつれて多面的な性質を帯びてきました。攻撃者は最初はネットワーク偵察に従事しているように見えました。しかし、目標は明らかに重要なアカウント資格情報の盗難にまで拡大し、侵害されたネットワークを通じて横方向の移動を示しました。この段階では、多様なツールを使用し、悪意のある活動に対する巧妙なアプローチを示しました。
これらのキャンペーンの背後にいる者たちは、高度な手法を駆使し、目標を達成するために多様なツールと技術を使用していることを示しています。攻撃者は特別に作成されたHTTP GETリクエストを使用して、Citrixアプライアンスにシステムメモリの内容を明らかにさせ、有効なNetscaler AAAセッションクッキーを含む情報を取得しました。これにより、多要素認証を回避し、侵入をさらに巧妙にしています。
特定のツールの組み合わせに注意してください
彼らの武器の中で注目すべきツールの一つは、コマンドとコントロールにSlackを使用する新しい軽量の.NETバックドアであるFREEFIREです。これは武器の中で唯一の異常なツールです。攻撃は多くの標準的かつネイティブなプロセスを利用し、一般的なリモートデスクトップアクセスおよび管理ツールであるAtera、AnyDesk、SplashTopを追加しました。これは、ハッカーが検出されないようにどれだけ努力したかを示しています。実際、個々のツールは一般的に正当な企業環境で見られますが、脅威アクターによるこれらのツールの組み合わせた展開だけが重要な警告サインとなります。セキュリティソフトウェアとチームがこの組み合わせを妥協の兆候として警戒していない限り、それは見逃されるでしょう。
ハッカーがセッション情報を取得し、ネットワークを横断するために使用しているツールのリスト(およびBleeping Computerによって説明された目的)は次のとおりです:
- net.exe – Active Directory (AD) 偵察
- netscan.exe – 内部ネットワークの列挙
- 7-zip 暗号化されたセグメント化アーカイブを作成して偵察データを圧縮する
- certutil – データファイルをエンコード(base64)およびデコードし、バックドアを展開する;
- e.exe と d.dll LSASSプロセスメモリにロードしてメモリダンプファイルを作成します。
- sh3.exe Mimikatz LSADUMP コマンドを実行して資格情報を抽出します。
- FREEFIRE – Slackを使用したコマンドと制御のための新しい軽量.NETバックドア
- Atera – リモート監視と管理
- AnyDesk – リモートデスクトップ
- SplashTop – リモートデスクトップ.
おそらく同意されると思いますが、すべてが組み合わされない限り、特に問題はありません。ただし、1つだけ例外があります:FREEFIRE。
特にCitrix Bleedでハッカーに使用されるFREEFIRE
これらのツールのいくつかは企業環境で一般的に見られる一方で、これらのツールが組み合わされて使用されることは侵害の強い指標であることに注意する価値があります。Mandiantは、デバイス上のFREEFIREの存在を検出するために使用されるYaraルールをリリースしました。このツールは、組織が侵害されたシステムを事前に特定し、リスクを軽減するために迅速に行動するのに特に価値があります。
以下に、FREEFIREを検出するためのYaraルールを見つけることができます。それでも、Yaraルールをそこで確認したり、MITRE ATT&CK技術を読む場合は、Mandiantの記事を閉じてください。そこでは、Mandiantの「Citrix NetScaler ADC/Gateway: CVE-2023-4966 修正」ガイドのPDFリンクも見つけることができます。
MandiantのYaraルールを使用してCitrix BleedのコンテキストでFREEFIREを追跡
)
そしてルールとしてのテキスト:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Citrix NetScaler 脆弱性 CVE-2023-4966 を防ぐためのいくつかのリマインダー
これらの調査結果の収束は、組織が包括的なインシデント対応アプローチを採用する緊急の必要性を強調しています。利用可能なセキュリティアップデートを適用するだけでは、既存の侵害に対処するには不十分です。すべてのアクティブなセッションを閉じることが不可欠であるという事実は、十分に強調されることはありません。侵害を封じ込め、妥協の程度を評価し、必要に応じてシステム復旧に必要な手順を開始するためには、完全な対応が不可欠です。
Mandiantの修復ガイドやその他の出版物は、これらの困難なポストエクスプロイトシナリオをナビゲートするための重要な実践的手順を提供します。世界中の政府機関は、これらの攻撃を阻止するために、これらの推奨事項、警告、および保護プロセスを伝えています。
TSplus Advanced Security - Citrix Bleedやその他の攻撃に対する最高の保護
私たちは、当社の360°サイバー保護に確信を持っています TSplus Advanced Security は、この脅威やその他の脅威からビジネスおよびITインフラストラクチャを保護するために比類のないものです。実際、Citrix Bleedエクスプロイトのような脆弱性は、あまりにも多くのコンテキストおよびインフラストラクチャにおけるサイバーセキュリティの不十分さを示しています。したがって、企業はITインフラストラクチャおよび機密データを保護するために包括的なソリューションを優先する必要があります。TSplus Advanced Securityは、これらの差し迫った懸念に対する強力で包括的な答えとして立っています。
この包括的なセキュリティツールは、ゼロデイ攻撃、マルウェア、不正アクセスを含む多様な脅威からITシステムを保護するための多面的なアプローチを提供します。
TSplus Advanced Security を包括的なリモートソフトウェアスイートの一部として
One of the key benefits of 主要な利点の1つ TSplus Advanced Security lies in its ability to fortify your organization's IT infrastructure against vulnerabilities like CVE-2023-4966, which have a far-reaching impact. It enables businesses to secure their systems by preventing unauthorized access and effectively mitigating cybersecurity threats. 組織のITインフラストラクチャをCVE-2023-4966などの脆弱性から強化する能力にあり、これにより、未承認のアクセスを防止し、効果的にサイバーセキュリティの脅威を緩和することができます。
さらに、TSplusソフトウェアスイート全体は、TSplus Advanced Securityを補完する貴重な機能を提供します。四方の方角と同様に、リモートネットワークには4つの柱があります:セキュリティ、アクセス、監視、サポート。
TSplus Remote Accessのセッションログオフと詳細管理
まず TSplus リモートアクセス したがって、セッションログオフパラメータを含み、ユーザーセッションが正しく終了されることによりセキュリティを強化します。これにより、不正アクセスのリスクが軽減されます。この機能は、Citrix Bleed事件の悪用によって引き起こされた問題など、関連する問題に対処する上で重要です。パッチ適用後でもセッショントークンが残らないようにすることで、追加の保護層を提供します。
TSplusサーバーモニタリングによるサーバーおよびユーザーセッション監視
さらに TSplusサーバーモニタリング 組織にとって不可欠なツールです。実際、サーバーやウェブサイトの健康状態をリアルタイムで監視することができます。Citrix Bleedや同様の脆弱性の文脈では、Server Monitoringは問題の迅速な特定を可能にし、タイムリーなトラブルシューティングと修正を容易にします。このプロアクティブなアプローチは、ITシステムの整合性を維持し、侵害を防ぐために不可欠です。
TSplusリモートサポートによる遠隔操作、修正およびトレーニング
最後に TSplus リモートサポート サイバーセキュリティの課題に対処する上で重要な役割を果たします。リモートアシスタンスや無人介入を可能にし、迅速な解決を確保し、継続的な脆弱性に関連するリスクを最小限に抑えます。Citrixの脆弱性のトラブルシューティングやその他のIT問題に対処する場合でも、TSplus Remote Supportは、どこからでも迅速かつ効果的で安全に対応する力を組織に提供します。
結論として、Citrix Bleed 脆弱性 CVE-2023-4966 はパッチ適用にもかかわらず居座り続ける
要約すると、TSplus Advanced Securityはそのような脆弱性に対する優れたツールです。 そして、他のソフトウェアスイートと組み合わせることで、あらゆる種類のサイバーセキュリティ脅威に対する強力な防御ラインを形成し、詳細な管理、リアルタイム監視、迅速な対応機能を提供します。 ITインフラを保護し、機密の会社データを守るために、これ以上何を求めますか。
会社のITインフラをサイバー攻撃から守りたい場合や、Citrix全体を置き換えたい場合は、 電話、メール、または当社のウェブサイトを通じて今日中にご連絡ください 数秒または数回のクリックで見積もりやトライアルを取得できます。
)
)
)
