We've detected you might be speaking a different language. Do you want to change to:

Innholdsfortegnelse

Cyber nyheter består av historier som er mer skremmende og bekymringsfulle enn de forrige, et passende tema for slutten av oktober. Citrix Bleed er intet unntak. Etter en tidligere sårbarhet og patching tidligere i sommer, har Citrix vært i overskriftene det meste av denne høsten med nyheter om inntrengninger i store bedrifts- og regjeringsnettverk. Her er hvordan Citrix Bleed sårbarhet CVE-2023-4966 forårsaker søvnløse netter i noen kretser, etterfulgt av anbefalinger og våre egne løsninger og beskyttelse for å beskytte din eksterne infrastruktur mot slike farer. Nyhetene er ikke bare dårlige.

Citrix NetScaler ADC og NetScaler Gateway Under Fire

Citrix Bleed, en kritisk informasjonsavsløringsfeil som påvirker NetScaler ADC og NetScaler Gateway, har vært under "masseutnyttelse", med tusenvis av sårbare Citrix-servere fortsatt online til tross for utgivelsen av en patch den 10. oktober. Siden da har jevnlige bølger av nyheter minnet oss om at sårbarheten fortsatt tillater angripere å få tilgang til minnet til eksponerte enheter. Der angrepene henter øktokens for uautorisert tilgang, selv etter at patchen er implementert.

Ransomware-grupper har utnyttet denne sårbarheten, og Mandiant sporer flere grupper som retter seg mot ulike sektorer globalt. USAs regjering har klassifisert det som en ukjent utnyttet sårbarhet. Google-eide Mandiant understreker behovet for å avslutte alle aktive økter for effektiv håndtering. Feilen har blitt utnyttet siden slutten av august, med kriminelle som bruker den til cyber-etterretning. Finansielle trusselaktører har blitt forventet å utnytte det, så det er enda viktigere å stoppe Citrix Bleed før det er for sent.

CVE-2023-4966 Sårbarhet Fortsatt til tross for patching

Det ser ut til at, per 30. oktober, var det over 5 000 sårbare servere som var eksponert på det offentlige internettet. GreyNoise observerte 137 individuelle IP-adresser som forsøkte å utnytte denne Citrix-sårbarheten i løpet av den siste uken. Til tross for Citrix' raske offentliggjøring og utgivelse av en patch (CVE-2023-4966) den 10. oktober, eskalerte situasjonen raskt. Selv etter å ha anvendt patchen, vedvarte øktokener, noe som gjorde systemene sårbare for utnyttelse. Alvoret i situasjonen understrekes av det faktum at, som fryktet, har løsepengevarebander benyttet seg av muligheten til å utnytte denne sårbarheten, og distribuert python-skript for å automatisere angrepskjeden.

Strategisk gjennomtenkte verktøy og trinn for angrep

Disse angrepene har fått en allsidig karakter ettersom de har utviklet seg utover den initielle utnyttelsen. Angriperne virket først engasjert i nettverksrekognosering. Likevel har målene åpenbart utvidet seg til tyveri av kritiske kontokredentialer og vist lateral bevegelse gjennom de kompromitterte nettverkene. I denne fasen brukte de en mangfoldig sett med verktøy, og viste en godt orkestrert tilnærming til sine ondsinnede aktiviteter.

De som står bak disse kampanjene har vist en høy grad av sofistikasjon i sin tilnærming, ved å bruke et bredt spekter av verktøy og teknikker for å oppnå sine mål. Angripere brukte spesielt utformede HTTP GET-forespørsler for å tvinge Citrix-apparatet til å avsløre systemminneinnhold, inkludert gyldige Netscaler AAA-sesjonskapsler. Dette har tillatt dem å omgå flerfaktorautentisering, noe som gjør deres inntrengning enda mer ondsinnet.

Pass på den spesifikke verktøykombinasjonen.

En bemerkelsesverdig verktøy i deres arsenal er FREEFIRE, en ny lett .NET bakdør som bruker Slack for kommando og kontroll. Dette er det eneste uvanlige verktøyet i arsenalet. Angrep utnyttet mange standard og native prosesser, i tillegg til vanlig fjernskrivebordtilgang og administrasjonsverktøy som Atera, AnyDesk og SplashTop. Dette viser hvor hardt hackerne har jobbet for å forbli usynlige for oppdagelse. Faktisk, mens disse verktøyene individuelt sett vanligvis finnes i legitime bedriftsmiljøer, er det bare deres kombinerte implementering av trusselaktørene som fungerer som et betydelig faresignal. Med mindre sikkerhetsprogramvaren og teamet ditt ser etter denne kombinasjonen som indikerer et kompromiss, vil det gå ubemerket hen.

Her er listen over verktøyene hackerne har brukt for å hente øktinformasjon og bevege seg horisontalt gjennom nettverk (samt deres formål som beskrevet av Bleeping Computer):

  • net.exe – Aktiv katalog (AD) rekognosering;
  • netscan.exe - intern nettverksoppregning;
  • 7-zip - opprett en kryptert segmentert arkiv for komprimering av rekognoseringsdata;
  • certutil - kryptere (base64) og dekryptere datafiler og distribuere bakdører;
  • e.exe og d.dll – lastes inn i LSASS-prosessminnet og oppretter minnedumpfiler;
  • sh3.exe – kjør Mimikatz LSADUMP-kommandoen for legitimasjonsekstraksjon;
  • FREEFIRE – ny lettvekts .NET bakdør som bruker Slack for kommando og kontroll;
  • Atera – Fjernovervåking og administrasjon;
  • AnyDesk – Fjernskrivebord;
  • SplashTop – Fjernskrivebord.

Som du sannsynligvis er enig i, er det ikke mye galt med mindre du finner dem alle kombinert. Bortsett fra en, det vil si: FREEFIRE.

FREEFIRE brukes spesielt av hackere i Citrix Bleed.

Det er verdt å merke seg at selv om noen av disse verktøyene er vanligvis funnet i bedriftsmiljøer, er deres kombinerte bruk i disse kampanjene et sterkt tegn på et brudd. Mandiant har til og med utgitt en Yara-regel som brukes til å oppdage tilstedeværelsen av FREEFIRE på en enhet. Dette verktøyet er spesielt verdifullt for å hjelpe organisasjoner med å proaktivt identifisere kompromitterte systemer og ta rask handling for å redusere risikoen.

Nedenfor kan du finne Yara-regelen for å oppdage FREEFIRE. Hvis du ønsker å verifisere Yara-regelen der eller lese MITRE ATT&CK-teknikkene, lukker disse Mandiant-artikkelen. Der kan du også finne lenken til Mandiants "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" guide i PDF.

Mandiants Yara-regler for å spore opp FREEFIRE i Citrix Bleed Context

Og regelen som tekst: Og regelen som tekst

Yara-regel: import "pe" regel M_Hunting_Backdoor_FREEFIRE { meta: forfatter = "Mandiant" beskrivelse = "Dette er en jaktregel for å oppdage FREEFIRE-prøver ved hjelp av OP-kode sekvenser i getLastRecord-metoden" md5 = "eb842a9509dece779d138d2e6b0f6949" skadevare_familie = "FREEFIRE" strenger: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } betingelse: uint16(0) == 0x5A4D og filstørrelse >= 5KB og pe.imports("mscoree.dll") og alle dem

Noen påminnelser for å avverge Citrix NetScaler-sårbarhet CVE-2023-4966

Sammenfallen av disse funnene understreker det presserende behovet for at organisasjoner vedtar en omfattende responsmetode for hendelser. Å bare anvende tilgjengelige sikkerhetsoppdateringer er utilstrekkelig for å håndtere eksisterende brudd. Det faktum at det er essensielt å lukke alle aktive økter slik at de ikke forblir utnyttbare, kan rett og slett ikke understrekes tilstrekkelig. En fullverdig respons er avgjørende for å begrense bruddet, vurdere omfanget av kompromisset, og der det er nødvendig, starte de nødvendige trinnene for systemgjenoppretting.

Mandiants reparasjonsveiledning og andre publikasjoner tilbyr essensielle praktiske trinn for organisasjoner som navigerer i disse utfordrende post-utnyttelsesscenariene. Regjeringsorganisasjoner globalt videreformidler disse anbefalingene, advarslene og sikkerhetsprosessene i et forsøk på å stoppe disse angrepene.

TSplus Avansert Sikkerhet - Den Beste Beskyttelsen Mot Citrix Bleed og Andre Angrep

Vi er overbevist om at vår 360° cybersikkerhet. TSplus Advanced Security , er uovertruffen for å beskytte virksomheten din og IT-infrastrukturen mot denne trusselen og andre. Faktisk peker sårbarheter som Citrix Bleed-utnyttelsen på utilstrekkeligheten av cybersikkerhet i altfor mange sammenhenger og infrastrukturer. Derfor må bedrifter prioritere omfattende løsninger for å sikre IT-infrastrukturen og sensitiv data. TSplus Advanced Security står som et robust og altomfattende svar på disse presserende bekymringene.

Dette omfattende sikkerhetsverktøyet tilbyr en allsidig tilnærming for å sikre beskyttelsen av IT-systemer, og beskytter mot et bredt spekter av trusler, inkludert zero-day-utnyttelser, skadelig programvare og uautorisert tilgang.


TSplus Avansert Sikkerhet som en del av en helhetlig fjernprogramvarepakke

En av de viktigste fordelene med TSplus Advanced Security ligger i evnen til å styrke organisasjonens IT-infrastruktur mot sårbarheter som CVE-2023-4966, som har en vidtrekkende innvirkning. Det gjør det mulig for bedrifter å sikre systemene sine ved å forhindre uautorisert tilgang og effektivt redusere cybersikkerhetstrusler.

Videre tilbyr den bredere TSplus programvarepakken uvurderlige funksjoner som kompletterer TSplus Advanced Security. På samme måte som de fire himmelretningene, har vi fire søyler til et eksternt nettverk: sikkerhet, tilgang, overvåking og støtte.

TSplus Fjernaksess for økt logg av og granulær administrasjon

Først, TSplus Remote Access , inkluderer dermed økt sikkerhet ved å sørge for at brukersesjoner avsluttes korrekt. Dette reduserer risikoen for uautorisert tilgang betydelig. Denne funksjonen er avgjørende for å håndtere relaterte problemer som de som oppstår på grunn av utnyttelsen av Citrix Bleed-hendelsen. Ved å sørge for at ingen sesjonstokene vedvarer, selv etter patching, gir det en ekstra lag med beskyttelse.

TSplus Serverovervåking for server- og brukersesjonsovervåking

I tillegg, TSplus Server Monitoring er et uunnværlig verktøy for organisasjoner. Det gjør det mulig å overvåke helsen til servere og nettsteder i sanntid. I sammenheng med Citrix Bleed eller lignende sårbarheter, tillater Serverovervåking rask identifisering av problemer, noe som igjen gjør det enklere å starte rettidig feilsøking og retting. Denne proaktive tilnærmingen er avgjørende for å opprettholde integriteten til IT-systemer og forhindre brudd.

TSplus Fjernstøtte for Fjernkontroll, Fiksing og Opplæring

Til slutt TSplus Remote Support Spiller en avgjørende rolle i å håndtere cybersikkerhetsutfordringer. Det muliggjør fjernstøtte og ubemannede inngrep for ethvert IT-problem, og sikrer rask løsning og minimerer risikoen knyttet til pågående sårbarheter. Enten det gjelder feilsøking av en Citrix-sårbarhet eller håndtering av andre IT-bekymringer, gir TSplus Remote Support organisasjoner muligheten til å reagere raskt, effektivt og sikkert, fra hvor som helst.

Som en konklusjon til Citrix Bleed Vulnerability CVE-2023-4966 som har blitt værende velkommen til tross for patching.

I sammendrag er TSplus Advanced Security et flott verktøy mot slike sårbarheter. Og, i kombinasjon med resten av programvarepakken, danner den en robust forsvarslinje mot cybersikkerhetstrusler av alle slag, samtidig som den tilbyr granulær administrasjon, sanntids overvåkning og raske responsegenskaper. Hva mer kan du be om for å sikre IT-infrastrukturene dine og beskytte sensitive selskapsdata.

Enten du ønsker å beskytte selskapets IT-infrastruktur mot cyberangrep eller ønsker å erstatte Citrix helt, Ta kontakt i dag via telefon, e-post eller via nettsiden vår. og få din pris eller prøve på sekunder eller noen få klikk.

Del:

Facebook Twitter LinkedIn

Ditt TSplus Team

Relaterte innlegg

back to top of the page icon