)
)
)
)
Jak zabezpieczyć port RDP
Ten artykuł zagłębia się w zabezpieczanie portów RDP, dostosowany do zaawansowanego technicznie specjalisty IT.
)
)
Cyber news składa się z historii, z których każda jest bardziej przerażająca i niepokojąca niż poprzednia, co jest odpowiednim tematem na koniec października. Citrix Bleed nie jest wyjątkiem. Po wcześniejszej podatności i łatach na początku lata, Citrix przez większość tej jesieni pojawiał się w nagłówkach z wiadomościami o włamaniu do dużych sieci korporacyjnych i rządowych. Oto jak podatność Citrix Bleed CVE-2023-4966 powoduje bezsenne noce w niektórych kręgach, zalecenia, które się z tym wiążą, oraz nasze własne rozwiązania i zabezpieczenia, aby chronić Twoją zdalną infrastrukturę przed takimi zagrożeniami. Nie wszystkie wiadomości są złe.
Citrix NetScaler ADC i NetScaler Gateway pod ostrzałem
Citrix Bleed, krytyczny błąd ujawnienia informacji dotyczący NetScaler ADC i NetScaler Gateway, był poddawany "masowej eksploatacji", z tysiącami podatnych serwerów Citrix nadal online pomimo wydania poprawki 10 października. Od tego czasu regularne fale wiadomości przypominają nam, że luka nadal pozwala atakującym na dostęp do pamięci narażonych urządzeń. Tam ataki wyciągają tokeny sesji do nieautoryzowanego dostępu, nawet po zastosowaniu poprawki.
Gangii ransomware wykorzystują tę lukę, a Mandiant śledzi wiele grup atakujących różne sektory na całym świecie. Rząd USA sklasyfikował ją jako nieznaną wykorzystywaną lukę. Mandiant, należący do Google, podkreśla potrzebę zakończenia wszystkich aktywnych sesji dla skutecznego złagodzenia. Błąd jest wykorzystywany od końca sierpnia, a przestępcy używają go do cyber szpiegostwa. Oczekiwano, że finansowi aktorzy zagrożeń będą go wykorzystywać, więc tym bardziej ważne jest, aby zatrzymać Citrix Bleed, zanim będzie za późno.
Luka CVE-2023-4966 nadal istnieje pomimo łatania
Wydaje się, że na dzień 30 października na publicznym internecie pozostawało ponad 5 000 narażonych serwerów. GreyNoise zaobserwował 137 indywidualnych adresów IP próbujących wykorzystać tę lukę w Citrix w ciągu ostatniego tygodnia. Pomimo szybkiego ujawnienia i wydania poprawki przez Citrix (CVE-2023-4966) w dniu 10 października, sytuacja szybko się pogorszyła. Nawet po zastosowaniu poprawki, tokeny sesji utrzymywały się, pozostawiając systemy podatne na wykorzystanie. Powagę sytuacji podkreśla fakt, że, jak się obawiano, grupy ransomware skorzystały z okazji do wykorzystania tej luki, dystrybuując skrypty python do automatyzacji łańcucha ataków.
Strategicznie przemyślane narzędzia i kroki do ataków
Te ataki przybrały wieloaspektowy charakter, gdy postępowały poza początkową eksploatację. Atakujący początkowo wydawali się zaangażowani w rozpoznanie sieci. Jednak cele wyraźnie rozszerzyły się na kradzież krytycznych danych uwierzytelniających i wykazały ruch lateralny przez skompromitowane sieci. W tej fazie używali różnorodnych narzędzi, demonstrując dobrze zorganizowane podejście do swoich złośliwych działań.
Osoby stojące za tymi kampaniami wykazały się wysokim poziomem wyrafinowania w swoim podejściu, stosując szeroką gamę narzędzi i technik, aby osiągnąć swoje cele. Atakujący używali specjalnie przygotowanych żądań HTTP GET, aby zmusić urządzenie Citrix do ujawnienia zawartości pamięci systemowej, w tym ważnych ciasteczek sesji Netscaler AAA. Pozwalało im to na obejście uwierzytelniania wieloskładnikowego, co czyniło ich włamanie jeszcze bardziej podstępnym.
Uważaj na specyficzne połączenie narzędzi
Jednym z godnych uwagi narzędzi w ich arsenale jest FREEFIRE, nowy lekki backdoor .NET używający Slacka do komend i kontroli. Jest to jedyne nietypowe narzędzie w arsenale. Ataki wykorzystywały wiele standardowych i natywnych procesów, wraz z dodatkiem typowych narzędzi do zdalnego dostępu i zarządzania, takich jak Atera, AnyDesk i SplashTop. To pokazuje, jak ciężko hakerzy pracowali, aby pozostać niewidocznymi dla wykrycia. Rzeczywiście, podczas gdy indywidualnie te narzędzia są zazwyczaj spotykane w legalnych środowiskach korporacyjnych, tylko ich łączne użycie przez aktorów zagrożeń stanowi znaczący sygnał ostrzegawczy. Jeśli twoje oprogramowanie zabezpieczające i zespół nie zwracają uwagi na tę kombinację wskazującą na kompromis, mogłoby to pozostać niezauważone.
Oto lista narzędzi, których hakerzy używają do uzyskiwania informacji o sesjach i poruszania się poziomo po sieciach (oraz ich celów opisanych przez Bleeping Computer):
- net.exe – rozpoznanie Active Directory (AD)
- netscan.exe – wewnętrzne wyliczanie sieci
- 7-zip – utwórz zaszyfrowane segmentowane archiwum do kompresji danych rozpoznawczych
- certutil – kodować (base64) i dekodować pliki danych oraz wdrażać backdoory;
- e.exe i d.dll – załadować do pamięci procesu LSASS i utworzyć pliki zrzutu pamięci;
- sh3.exe – uruchom polecenie Mimikatz LSADUMP w celu wyodrębnienia poświadczeń;
- FREEFIRE – nowy lekki backdoor .NET wykorzystujący Slack do sterowania i kontroli
- Atera – Zdalne monitorowanie i zarządzanie
- AnyDesk – Pulpit zdalny
- SplashTop – Pulpit zdalny.
Jak się pewnie zgadzasz, nic szczególnego, chyba że znajdziesz je wszystkie połączone. Z wyjątkiem jednego: FREEFIRE.
FREEFIRE w szczególności używany przez hakerów w Citrix Bleed
Warto zauważyć, że chociaż niektóre z tych narzędzi są powszechnie spotykane w środowiskach korporacyjnych, ich łączne użycie w tych kampaniach jest silnym wskaźnikiem naruszenia. Mandiant nawet wydał regułę Yara używaną do wykrywania obecności FREEFIRE na urządzeniu. To narzędzie jest szczególnie cenne w pomaganiu organizacjom w proaktywnym identyfikowaniu skompromitowanych systemów i podejmowaniu szybkich działań w celu zmniejszenia ryzyka.
Poniżej znajdziesz regułę Yara do wykrywania FREEFIRE. Jeśli jednak chcesz zweryfikować regułę Yara tam lub przeczytać techniki MITRE ATT&CK, zamknij artykuł Mandiant. Tam znajdziesz również link do przewodnika Mandiant „Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation” w formacie PDF.
Zasady Yara Mandiant do wyszukiwania FREEFIRE w kontekście Citrix Bleed
)
I zasada jako tekst:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Kilka przypomnień dotyczących ochrony przed podatnością Citrix NetScaler CVE-2023-4966
Zbieżność tych ustaleń podkreśla pilną potrzebę przyjęcia przez organizacje kompleksowego podejścia do reagowania na incydenty. Samo zastosowanie dostępnych aktualizacji zabezpieczeń jest niewystarczające do rozwiązania istniejących naruszeń. Fakt, że konieczne jest zamknięcie wszystkich aktywnych sesji, aby nie pozostały one podatne na wykorzystanie, nie może być wystarczająco podkreślony. Pełna odpowiedź jest niezbędna do powstrzymania naruszenia, oceny zakresu kompromitacji i, w razie potrzeby, podjęcia kroków niezbędnych do przywrócenia systemu.
Przewodnik naprawczy Mandiant i inne publikacje oferują niezbędne praktyczne kroki dla organizacji poruszających się w tych trudnych scenariuszach po eksploatacji. Organizacje rządowe na całym świecie przekazują te zalecenia, ostrzeżenia i procesy ochronne w celu powstrzymania tych ataków.
TSplus Advanced Security - Najlepsza ochrona przed Citrix Bleed i innymi atakami
Jesteśmy przekonani o naszej 360° ochronie cybernetycznej TSplus Advanced Security , jest niezrównany w ochronie Twojej firmy i infrastruktury IT przed tym zagrożeniem i innymi. Rzeczywiście, luki takie jak exploit Citrix Bleed wskazują na niewystarczalność cyberbezpieczeństwa w zbyt wielu kontekstach i infrastrukturach. Dlatego firmy muszą priorytetowo traktować kompleksowe rozwiązania w celu zabezpieczenia swojej infrastruktury IT i wrażliwych danych. TSplus Advanced Security jest solidną i wszechstronną odpowiedzią na te pilne problemy.
To wszechstronne narzędzie zabezpieczające oferuje wieloaspektowe podejście do zapewnienia ochrony systemów IT, chroniąc przed szeroką gamą zagrożeń, w tym exploitami zero-day, złośliwym oprogramowaniem i nieautoryzowanym dostępem.
TSplus Advanced Security jako część holistycznego pakietu oprogramowania zdalnego
Jednym z kluczowych korzyści jest TSplus Advanced Security leży w jego zdolności do umocnienia infrastruktury IT Twojej organizacji przed podatnościami takimi jak CVE-2023-4966, które mają daleko idący wpływ. Umożliwia firmom zabezpieczenie ich systemów poprzez zapobieganie nieautoryzowanemu dostępowi i skuteczne łagodzenie zagrożeń związanych z cyberbezpieczeństwem.
Ponadto, szerszy pakiet oprogramowania TSplus oferuje nieocenione funkcje, które uzupełniają TSplus Advanced Security. Podobnie jak cztery kardynalne punkty, mamy cztery filary zdalnej sieci: bezpieczeństwo, dostęp, monitorowanie i wsparcie.
TSplus Remote Access do wylogowania sesji i zarządzania szczegółowego
Po pierwsze TSplus Zdalny Dostęp , w ten sposób, zawiera parametry wylogowania sesji, które zwiększają bezpieczeństwo, zapewniając prawidłowe zakończenie sesji użytkowników. Co najważniejsze, zmniejsza to ryzyko nieautoryzowanego dostępu. Ta funkcja jest kluczowa w rozwiązywaniu powiązanych problemów, takich jak te spowodowane przez incydent Citrix Bleed. Zapewniając, że żadne tokeny sesji nie pozostają, nawet po zastosowaniu poprawek, zapewnia dodatkową warstwę ochrony.
TSplus Server Monitoring do nadzoru serwera i sesji użytkownika
Dodatkowo TSplus Monitorowanie Serwera jest niezbędnym narzędziem dla organizacji. Rzeczywiście, umożliwia monitorowanie stanu ich serwerów i stron internetowych w czasie rzeczywistym. W kontekście Citrix Bleed lub podobnych podatności, Monitorowanie Serwera pozwala na szybkie zidentyfikowanie problemów, co z kolei ułatwia szybkie rozpoczęcie rozwiązywania problemów i naprawy. To proaktywne podejście jest kluczowe dla utrzymania integralności systemów IT i zapobiegania naruszeniom.
TSplus Remote Support do zdalnego sterowania, naprawy i szkolenia
Na koniec TSplus Remote Support odgrywa kluczową rolę w rozwiązywaniu problemów związanych z cyberbezpieczeństwem. Umożliwia zdalną pomoc i interwencję bez nadzoru w przypadku jakiegokolwiek problemu IT, zapewniając szybkie rozwiązanie i minimalizując ryzyko związane z trwającymi podatnościami. Niezależnie od tego, czy chodzi o rozwiązywanie problemów z podatnością Citrix, czy o inne kwestie IT, TSplus Remote Support umożliwia organizacjom szybkie, skuteczne i bezpieczne reagowanie z dowolnego miejsca.
Podsumowując, podatność Citrix Bleed CVE-2023-4966 pozostaje mimo łatania
Podsumowując, TSplus Advanced Security to świetne narzędzie przeciwko takim lukom. A w połączeniu z resztą pakietu oprogramowania tworzy solidną linię obrony przed zagrożeniami cyberbezpieczeństwa wszelkiego rodzaju, oferując jednocześnie szczegółowe zarządzanie, monitorowanie w czasie rzeczywistym i szybkie możliwości reagowania. Czego więcej można chcieć, aby zabezpieczyć swoje infrastruktury IT i chronić wrażliwe dane firmowe.
Niezależnie od tego, czy chcesz zabezpieczyć infrastrukturę IT swojej firmy przed cyberatakami, czy zastąpić Citrix w całości, skontaktuj się z nami dzisiaj telefonicznie, e-mailem lub za pośrednictwem naszej strony internetowej i uzyskaj wycenę lub wersję próbną w kilka sekund lub kilkoma kliknięciami
)
)
)
