We've detected you might be speaking a different language. Do you want to change to:

Inhoudsopgave

Cybernieuws bestaat uit verhalen die elk nog angstaanjagender en zorgwekkender zijn dan de vorige, een passend thema voor het einde van oktober. Citrix Bleed is geen uitzondering. Na een eerdere kwetsbaarheid en patching in het begin van de zomer, heeft Citrix deze herfst voornamelijk de krantenkoppen gehaald met nieuws over inbraken in grote zakelijke en overheidsnetwerken. Hier is hoe de Citrix Bleed-kwetsbaarheid CVE-2023-4966 in sommige kringen slapeloze nachten veroorzaakt, resulterende aanbevelingen en onze eigen oplossingen en bescherming om uw externe infrastructuur te beschermen tegen dergelijke gevaren. Het nieuws is niet allemaal slecht.

Citrix NetScaler ADC en NetScaler Gateway Under Fire

Citrix Bleed, een kritieke informatie-onthullingsbug die van invloed is op NetScaler ADC en NetScaler Gateway, is onder "massale exploitatie" geweest, met duizenden kwetsbare Citrix-servers nog steeds online ondanks de release van een patch op 10 oktober. Sindsdien hebben regelmatige golven van nieuws ons eraan herinnerd dat de kwetsbaarheid aanvallers nog steeds toegang geeft tot het geheugen van blootgestelde apparaten. Daar halen aanvallen sessietokens op voor ongeautoriseerde toegang, zelfs nadat de patch is toegepast.

Ransomwarebendes hebben misbruik gemaakt van deze kwetsbaarheid en Mandiant volgt meerdere groepen die wereldwijd verschillende sectoren targeten. De Amerikaanse overheid heeft het geclassificeerd als een onbekende misbruikte kwetsbaarheid. Het door Google beheerde Mandiant benadrukt de noodzaak om alle actieve sessies te beëindigen voor effectieve mitigatie. De bug is misbruikt sinds eind augustus, waarbij criminelen deze gebruiken voor cyberespionage. Financiële dreigingsactoren worden verwacht dit te misbruiken, dus het is des te belangrijker om Citrix Bleed te stoppen voordat het te laat is.

CVE-2023-4966 Kwetsbaarheid Gaat Door Ondanks Patching

Het blijkt dat, vanaf 30 oktober, meer dan 5.000 kwetsbare servers blootgesteld waren op het openbare internet. GreyNoise heeft 137 individuele IP-adressen waargenomen die de afgelopen week hebben geprobeerd om deze Citrix-kwetsbaarheid te misbruiken. Ondanks de snelle openbaarmaking en uitgifte van een patch door Citrix (CVE-2023-4966) op 10 oktober, escaleerde de situatie snel. Zelfs na het toepassen van de patch bleven sessietokens bestaan, waardoor systemen kwetsbaar bleven voor misbruik. De ernst van de situatie wordt benadrukt door het feit dat, zoals gevreesd, ransomware-teams hebben geprofiteerd van deze kwetsbaarheid door python-scripts te verspreiden om de aanvalsketen te automatiseren.

Strategisch doordachte tools en stappen voor de aanvallen

Deze aanvallen hebben een veelzijdig karakter gekregen naarmate ze zich ontwikkelden voorbij de initiële exploitatie. De aanvallers leken aanvankelijk betrokken te zijn bij netwerkverkenning. Toch zijn de doelen duidelijk uitgebreid naar het stelen van kritieke accountreferenties en het laten zien van laterale beweging door de gecompromitteerde netwerken. In deze fase maakten ze gebruik van een divers scala aan tools, waarbij ze een goed georkestreerde aanpak toonden voor hun kwaadaardige activiteiten.

Degenen achter deze campagnes hebben een hoog niveau van verfijning in hun aanpak aangetoond, waarbij ze een breed scala aan tools en technieken gebruiken om hun doelen te bereiken. Aanvallers gebruikten speciaal gemaakte HTTP GET-verzoeken om het Citrix-apparaat te dwingen systeemgeheugeninhoud te onthullen, inclusief geldige Netscaler AAA-sessiecookies. Dit heeft hen in staat gesteld om multifactor-authenticatie te omzeilen, waardoor hun indringing nog verraderlijker wordt.

Let op voor de specifieke toolcombinatie

Een opmerkelijk instrument in hun arsenaal is FREEFIRE, een nieuw lichtgewicht .NET achterdeur die Slack gebruikt voor commando en controle. Dit is het enige ongebruikelijke instrument in het arsenaal. Aanvallen maakten gebruik van veel standaard en native processen, met toevoeging van de gebruikelijke externe desktoptoegang en beheertools Atera, AnyDesk en SplashTop. Dit laat zien hoe hard hackers hebben gewerkt om onzichtbaar te blijven voor detectie. Inderdaad, hoewel deze tools individueel meestal worden aangetroffen in legitieme bedrijfsomgevingen, dient alleen hun gecombineerde inzet door de dreigingsactoren als een belangrijke rode vlag. Tenzij uw beveiligingssoftware en team alert zijn op deze combinatie die wijst op een compromis, zou het onopgemerkt blijven.

Hier is de lijst van tools die hackers hebben gebruikt om sessie-informatie op te halen en horizontaal door netwerken te bewegen (evenals hun doeleinden zoals beschreven door Bleeping Computer):

  • net.exe - Actieve Directory (AD) verkenning;
  • netscan.exe - interne netwerkenumeratie;
  • 7-zip - maak een versleuteld gesegmenteerd archief voor het comprimeren van verkenningsgegevens;
  • certutil - coderen (base64) en decoderen van gegevensbestanden en implementeren van achterdeuren;
  • e.exe en d.dll - laden in het LSASS-procesgeheugen en geheugendumpbestanden maken;
  • sh3.exe - voer het Mimikatz LSADUMP-commando uit voor het extraheren van referenties;
  • FREEFIRE - nieuw lichtgewicht .NET achterdeur met gebruik van Slack voor commando en controle;
  • Atera - Externe monitoring en beheer;
  • AnyDesk - Externe desktop;
  • SplashTop - Remote desktop.

Zoals je waarschijnlijk zult beamen, is er niets bijzonders aan de hand, tenzij je ze allemaal gecombineerd vindt. Behalve één, dat is: FREEFIRE.

FREEFIRE in het bijzonder gebruikt door hackers in Citrix Bleed

Het is vermeldenswaard dat hoewel sommige van deze tools vaak voorkomen in bedrijfsomgevingen, hun gecombineerd gebruik in deze campagnes een sterke indicatie is van een inbreuk. Mandiant heeft zelfs een Yara-regel vrijgegeven die wordt gebruikt om de aanwezigheid van FREEFIRE op een apparaat te detecteren. Deze tool is bijzonder waardevol om organisaties te helpen proactief gecompromitteerde systemen te identificeren en snel actie te ondernemen om het risico te beperken.

Hieronder vindt u de Yara-regel voor het detecteren van FREEFIRE. Mocht u de Yara-regel daar willen verifiëren of de MITRE ATT&CK-technieken willen lezen, dan sluiten deze het Mandiant-artikel af. Daar vindt u ook de link naar de "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" gids van Mandiant in PDF.

Mandiant's Yara-regels om FREEFIRE op te sporen in Citrix Bleed-context.

En de regel als tekst: En de regel als tekst

Yara-regel: import "pe" regel M_Hunting_Backdoor_FREEFIRE { meta: auteur = "Mandiant" beschrijving = "Dit is een jachtrichtlijn om FREEFIRE-monsters te detecteren met behulp van OP-code-sequenties in de getLastRecord-methode" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_familie = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } voorwaarde: uint16(0) == 0x5A4D en bestandsgrootte >= 5KB en pe.imports("mscoree.dll") en allemaal

Enkele herinneringen voor het afweren van Citrix NetScaler kwetsbaarheid CVE-2023-4966

De convergentie van deze bevindingen benadrukt de dringende noodzaak voor organisaties om een alomvattende incidentresponsbenadering te adopteren. Het eenvoudig toepassen van de beschikbare beveiligingsupdates is onvoldoende om bestaande inbreuken aan te pakken. Het feit dat het essentieel is om alle actieve sessies te sluiten, opdat ze niet langer exploiteerbaar blijven, kan eenvoudigweg niet voldoende worden benadrukt. Een volledige respons is van essentieel belang om de inbreuk te beheersen, de omvang van de compromittering te beoordelen en waar nodig de stappen te initiëren die nodig zijn voor systeemherstel.

Mandiant's remediation guide en andere publicaties bieden essentiële praktische stappen voor organisaties die deze uitdagende post-exploitatie scenario's navigeren. Overheidsorganisaties wereldwijd geven deze aanbevelingen, waarschuwingen en beveiligingsprocessen door in een poging om een einde te maken aan deze aanvallen.

TSplus Geavanceerde Beveiliging - De Beste Bescherming Tegen Citrix Bleed en andere Aanvallen

We zijn ervan overtuigd dat onze 360° cyberbescherming, TSplus Geavanceerde Beveiliging , is ongeëvenaard om uw bedrijf en IT-infrastructuur te beschermen tegen deze dreiging en anderen. Inderdaad, kwetsbaarheden zoals de Citrix Bleed-exploit wijzen op de ontoereikendheid van cybersecurity in te veel contexten en infrastructuren. Daarom moeten bedrijven uitgebreide oplossingen prioriteren om hun IT-infrastructuur en gevoelige gegevens te beschermen. TSplus Advanced Security staat als een robuust en allesomvattend antwoord op deze dringende zorgen.

Deze uitgebreide beveiligingstool biedt een veelzijdige aanpak om de bescherming van IT-systemen te waarborgen, waarbij wordt gewaakt tegen een breed scala aan bedreigingen, waaronder zero-day exploits, malware en ongeautoriseerde toegang.


TSplus Advanced Security als onderdeel van een allesomvattend softwarepakket voor externe toegang

Een van de belangrijkste voordelen van TSplus Geavanceerde Beveiliging Ligt in het vermogen om de IT-infrastructuur van uw organisatie te versterken tegen kwetsbaarheden zoals CVE-2023-4966, die een verstrekkende impact hebben. Het stelt bedrijven in staat om hun systemen te beveiligen door ongeautoriseerde toegang te voorkomen en cybersecuritydreigingen effectief te beperken.

Bovendien biedt de bredere TSplus software suite onschatbare functies die TSplus Advanced Security aanvullen. Net als de vier windstreken hebben we vier pijlers voor een extern netwerk: beveiliging, toegang, monitoring en ondersteuning.

TSplus Remote Access voor sessie afmelden en gedetailleerd beheer

Allereerst TSplus Remote Access , dit omvat sessie logoff parameters die de beveiliging verbeteren door ervoor te zorgen dat gebruikerssessies correct worden beëindigd. Dit vermindert het risico op ongeautoriseerde toegang aanzienlijk. Deze functie is essentieel voor het aanpakken van gerelateerde problemen zoals die veroorzaakt door de exploits van het Citrix Bleed-incident. Door ervoor te zorgen dat er geen sessietokens aanhouden, zelfs na het patchen, biedt het een extra beschermingslaag.

TSplus Server Monitoring voor Server- en Gebruikerssessiebewaking

Daarnaast TSplus Server Monitoring Is een onmisbaar instrument voor organisaties. Het stelt u inderdaad in staat om de gezondheid van hun servers en websites in realtime te controleren. In het kader van Citrix Bleed of vergelijkbare kwetsbaarheden maakt Server Monitoring een snelle identificatie van problemen mogelijk, waardoor het gemakkelijker wordt om tijdig probleemoplossing en herstel te starten. Deze proactieve aanpak is essentieel voor het behoud van de integriteit van IT-systemen en het voorkomen van inbreuken.

TSplus Remote Support voor Afstandsbediening, Reparatie en Training

Ten slotte. TSplus Remote Support Speelt een cruciale rol bij het aanpakken van cybersecurity-uitdagingen. Het vergemakkelijkt externe ondersteuning en onbeheerde interventie voor elk IT-probleem, zorgt voor een snelle oplossing en minimaliseert de risico's die gepaard gaan met lopende kwetsbaarheden. Of het nu gaat om het oplossen van een Citrix-kwetsbaarheid of het aanpakken van een ander IT-probleem, TSplus Remote Support stelt organisaties in staat om snel, effectief en veilig te reageren, vanaf elke locatie.

Als conclusie van de Citrix Bleed Vulnerability CVE-2023-4966 die ondanks het patchen te lang blijft hangen.

Samengevat is TSplus Advanced Security een geweldig hulpmiddel tegen dergelijke kwetsbaarheden. En, in combinatie met de rest van de software suite, vormt het een robuuste verdedigingslinie tegen cybersecurity bedreigingen van allerlei aard, en biedt het gedetailleerd beheer, real-time monitoring en snelle responsmogelijkheden. Wat meer zou je kunnen vragen om je IT-infrastructuur te beveiligen en gevoelige bedrijfsgegevens te beschermen.

Of u nu de IT-infrastructuur van uw bedrijf wilt beschermen tegen cyberaanvallen of Citrix als geheel wilt vervangen, Neem vandaag contact met ons op via telefoon, e-mail of via onze website. En ontvang uw offerte of proefversie binnen enkele seconden of een paar klikken.

Delen:

Facebook Twitter LinkedIn

Jouw TSplus Team

Gerelateerde berichten

back to top of the page icon