We've detected you might be speaking a different language. Do you want to change to:

Índice

Notícias cibernéticas são feitas de histórias cada vez mais assustadoras e preocupantes do que as anteriores, um tema apropriado para o final de outubro. Citrix Bleed não é exceção. Após uma vulnerabilidade anterior e correção no início do verão, a Citrix tem sido manchete na maior parte deste outono com notícias de avanços em grandes redes corporativas e governamentais. Aqui está como a vulnerabilidade Citrix Bleed CVE-2023-4966 está causando noites sem sono em algumas esferas, recomendações subsequentes e nossas próprias soluções e proteção para proteger sua infraestrutura remota contra tais perigos. As notícias não são todas ruins.

Citrix NetScaler ADC e NetScaler Gateway sob Ataque

Citrix Bleed, um bug crítico de divulgação de informações que afeta o NetScaler ADC e o NetScaler Gateway, tem sido alvo de "exploração em massa", com milhares de servidores Citrix vulneráveis ainda online apesar do lançamento de um patch em 10 de outubro. Desde então, ondas regulares de notícias nos lembram que a vulnerabilidade ainda permite que atacantes acessem a memória dos dispositivos expostos. Lá, os ataques extraem tokens de sessão para acesso não autorizado, mesmo após a aplicação do patch.

Gangues de ransomware têm explorado essa vulnerabilidade e a Mandiant está rastreando vários grupos que estão alvejando diversos setores globalmente. O governo dos EUA classificou isso como uma vulnerabilidade explorada desconhecida. A Mandiant, de propriedade do Google, enfatiza a necessidade de encerrar todas as sessões ativas para uma mitigação eficaz. O bug tem sido explorado desde o final de agosto, com criminosos usando-o para ciberespionagem. Espera-se que atores de ameaças financeiras também explorem, por isso é ainda mais importante parar o Citrix Bleed antes que seja tarde demais.

Vulnerabilidade CVE-2023-4966 em Andamento Apesar da Correção

Parece que, em 30 de outubro, havia mais de 5.000 servidores vulneráveis expostos na internet pública. GreyNoise observou 137 endereços IP individuais tentando explorar essa vulnerabilidade do Citrix na semana passada. Apesar da divulgação rápida do Citrix e da emissão de um patch (CVE-2023-4966) em 10 de outubro, a situação escalou rapidamente. Mesmo após a aplicação do patch, os tokens de sessão persistiram, deixando os sistemas vulneráveis à exploração. A gravidade da situação é sublinhada pelo fato de que, como temido, equipes de ransomware aproveitaram a oportunidade para explorar essa vulnerabilidade, distribuindo scripts python para automatizar a cadeia de ataque.

Ferramentas e Passos Estrategicamente Planejados para os Ataques

Esses ataques assumiram uma natureza multifacetada à medida que progrediram além da exploração inicial. Os atacantes pareciam inicialmente engajados em reconhecimento de rede. No entanto, os objetivos obviamente se estenderam ao roubo de credenciais de contas críticas e mostraram movimento lateral através das redes comprometidas. Nesta fase, eles empregaram um conjunto diversificado de ferramentas, demonstrando uma abordagem bem orquestrada para suas atividades maliciosas.

Aqueles por trás dessas campanhas demonstraram um alto nível de sofisticação em sua abordagem, empregando uma ampla gama de ferramentas e técnicas para alcançar seus objetivos. Os atacantes usaram solicitações HTTP GET especialmente criadas para forçar o appliance Citrix a revelar conteúdos da memória do sistema, incluindo cookies de sessão Netscaler AAA válidos. Isso tem permitido que eles contornem a autenticação multifator, tornando sua intrusão ainda mais insidiosa.

Fique de Olho na Combinação Específica de Ferramentas

Uma ferramenta notável em seu arsenal é o FREEFIRE, um novo backdoor leve .NET que usa o Slack para comando e controle. Esta é a única ferramenta incomum no arsenal. Os ataques utilizaram muitos processos padrão e nativos, com a adição das ferramentas comuns de acesso remoto e gerenciamento Atera, AnyDesk e SplashTop. Isso mostra o quanto os hackers trabalharam para permanecer invisíveis à detecção. De fato, enquanto individualmente essas ferramentas são geralmente encontradas em ambientes empresariais legítimos, apenas sua implantação combinada pelos atores da ameaça serve como um sinal de alerta significativo. A menos que seu software de segurança e equipe estejam atentos a essa combinação indicativa de comprometimento, ela passaria despercebida.

Aqui está a lista de ferramentas que os hackers têm usado para recuperar informações de sessão e mover-se horizontalmente através das redes (bem como seus propósitos conforme descrito pelo Bleeping Computer):

  • net.exe – Reconhecimento do Active Directory (AD);
  • netscan.exe – enumeração de rede interna
  • 7-zip – criar um arquivo segmentado criptografado para compactar dados de reconhecimento;
  • certutil – codificar (base64) e decodificar arquivos de dados e implantar backdoors;
  • e.exe e d.dll – carregar na memória do processo LSASS e criar arquivos de despejo de memória;
  • sh3.exe – execute o comando Mimikatz LSADUMP para extração de credenciais;
  • FREEFIRE – novo backdoor leve .NET usando Slack para comando e controle;
  • Atera – Monitoramento e gerenciamento remotos
  • AnyDesk – Área de trabalho remota
  • SplashTop – Área de trabalho remota.

Como você provavelmente concorda, nada muito impróprio, a menos que você os encontre todos combinados. Exceto por um, que é: FREEFIRE.

FREEFIRE em Particular Usado por Hackers no Citrix Bleed

Vale a pena notar que, embora algumas dessas ferramentas sejam comumente encontradas em ambientes empresariais, seu uso combinado nessas campanhas é um forte indicador de uma violação. A Mandiant até lançou uma regra Yara empregada para detectar a presença de FREEFIRE em um dispositivo. Esta ferramenta é particularmente valiosa para ajudar as organizações a identificar proativamente sistemas comprometidos e tomar medidas rápidas para mitigar o risco.

Abaixo, você pode encontrar a regra Yara para detectar FREEFIRE. Ainda assim, se desejar verificar a regra Yara lá ou ler as técnicas MITRE ATT&CK, estas fecham o artigo da Mandiant. Lá, você também pode encontrar o link para o guia “Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation” da Mandiant em PDF.

As regras Yara da Mandiant para caçar FREEFIRE no contexto do Citrix Bleed

E a regra como texto:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Algumas Lembretes para Evitar a Vulnerabilidade CVE-2023-4966 do Citrix NetScaler

A convergência dessas descobertas destaca a necessidade urgente de as organizações adotarem uma abordagem abrangente de resposta a incidentes. Simplesmente aplicar as atualizações de segurança disponíveis é insuficiente para lidar com as violações existentes. O fato de ser essencial fechar todas as sessões ativas para que não permaneçam exploráveis não pode ser suficientemente sublinhado. Uma resposta completa é imperativa para conter a violação, avaliar a extensão do comprometimento e, quando necessário, iniciar os passos necessários para a restauração do sistema.

O guia de remediação da Mandiant e outras publicações oferecem passos práticos essenciais para organizações que navegam por esses cenários desafiadores de pós-exploração. Organizações governamentais globalmente estão transmitindo essas recomendações, avisos e processos de salvaguarda na tentativa de interromper esses ataques.

TSplus Advanced Security - A Melhor Proteção Contra Citrix Bleed e outros Ataques

Estamos convencidos de nossa proteção cibernética 360° TSplus Advanced Security é incomparável para proteger seu negócio e infraestrutura de TI contra essa ameaça e outras. De fato, vulnerabilidades como a exploração Citrix Bleed apontam para a inadequação da cibersegurança em muitos contextos e infraestruturas. Portanto, as empresas devem priorizar soluções abrangentes para proteger sua infraestrutura de TI e dados sensíveis. TSplus Advanced Security se destaca como uma resposta robusta e abrangente a essas preocupações urgentes.

Esta ferramenta de segurança abrangente oferece uma abordagem multifacetada para garantir a proteção dos sistemas de TI, protegendo contra uma ampla gama de ameaças, incluindo exploits de dia zero, malware e acesso não autorizado.


TSplus Advanced Security como Parte de um Conjunto de Software Remoto Holístico

Uma das principais vantagens de TSplus Advanced Security Está em sua capacidade de fortalecer a infraestrutura de TI de sua organização contra vulnerabilidades como CVE-2023-4966, que têm um impacto de longo alcance. Ele permite que as empresas protejam seus sistemas, impedindo o acesso não autorizado e mitigando efetivamente as ameaças cibernéticas.

Além disso, a ampla suíte de software TSplus oferece recursos inestimáveis que complementam o TSplus Advanced Security. Da mesma forma que os quatro pontos cardeais, temos quatro pilares para uma rede remota: segurança, acesso, monitoramento e suporte.

TSplus Remote Access para Encerramento de Sessão e Gerenciamento Granular

Primeiramente, TSplus Acesso Remoto Assim, inclui parâmetros de logoff de sessão que aumentam a segurança, garantindo que as sessões dos usuários sejam corretamente encerradas. Principalmente, isso reduz o risco de acesso não autorizado. Esse recurso é vital para resolver problemas correlacionados, como os causados pelos exploits do incidente Citrix Bleed. Ao garantir que nenhum token de sessão persista, mesmo após a correção, ele fornece uma camada adicional de proteção.

Monitoramento de Servidor TSplus para Vigilância de Servidor e Sessão de Usuário

Além disso TSplus Monitoramento de Servidor é uma ferramenta indispensável para organizações. De fato, permite monitorar a saúde de seus servidores e sites em tempo real. No contexto de vulnerabilidades como Citrix Bleed, o Monitoramento de Servidor permite a identificação rápida de problemas, facilitando assim a iniciação de soluções e remediações oportunas. Essa abordagem proativa é essencial para manter a integridade dos sistemas de TI e prevenir violações.

TSplus Remote Support para Controle Remoto, Correção e Treinamento

Por fim TSplus Suporte Remoto desempenha um papel fundamental na resolução de desafios de cibersegurança. Facilita a assistência remota e a intervenção não supervisionada para qualquer problema de TI, garantindo uma resolução rápida e minimizando os riscos associados a vulnerabilidades contínuas. Seja solucionando uma vulnerabilidade do Citrix ou abordando qualquer outra preocupação de TI, o TSplus Remote Support capacita as organizações a responder de forma rápida, eficaz e segura, de qualquer lugar.

Como Conclusão da Vulnerabilidade Citrix Bleed CVE-2023-4966 Persistindo Apesar da Correção

Em resumo, TSplus Advanced Security é uma ótima ferramenta contra tais vulnerabilidades. E, em combinação com o restante do conjunto de software, forma uma linha robusta de defesa contra ameaças cibernéticas de todos os tipos, além de oferecer gerenciamento granular, monitoramento em tempo real e capacidades de resposta rápida. O que mais você poderia pedir para proteger suas infraestruturas de TI e salvaguardar dados sensíveis da empresa.

Se você deseja proteger a infraestrutura de TI da sua empresa contra ataques cibernéticos ou substituir o Citrix por completo, entre em contato hoje por telefone, e-mail ou através do nosso site e obtenha sua cotação ou teste em segundos ou com alguns cliques

Compartilhar:

Facebook Twitter LinkedIn

Sua equipe TSplus

Postagens Relacionadas

back to top of the page icon