We've detected you might be speaking a different language. Do you want to change to:

Índice

As notícias cibernéticas são feitas de histórias cada vez mais assustadoras e preocupantes do que as anteriores, um tema apropriado para o final de outubro. Citrix Bleed não é exceção. Após uma vulnerabilidade anterior e correção no início do verão, a Citrix tem sido manchete na maior parte deste outono com notícias de avanços em grandes redes corporativas e governamentais. Aqui está como a vulnerabilidade Citrix Bleed CVE-2023-4966 está causando noites sem dormir em algumas esferas, recomendações subsequentes e nossas próprias soluções e proteção para proteger a sua infraestrutura remota contra tais perigos. As notícias não são todas ruins.

Citrix NetScaler ADC e NetScaler Gateway Sob Ataque

Citrix Bleed, um bug crítico de divulgação de informações que afeta o NetScaler ADC e o NetScaler Gateway, tem sido alvo de "exploração em massa", com milhares de servidores Citrix vulneráveis ainda online apesar do lançamento de um patch em 10 de outubro. Desde então, ondas regulares de notícias têm nos lembrado que a vulnerabilidade ainda permite que atacantes acessem a memória dos dispositivos expostos. Lá, os ataques extraem tokens de sessão para acesso não autorizado, mesmo após a aplicação do patch.

Gangues de ransomware têm explorado esta vulnerabilidade e a Mandiant está rastreando múltiplos grupos que visam vários setores globalmente. O governo dos EUA classificou-a como uma vulnerabilidade explorada desconhecida. A Mandiant, de propriedade do Google, enfatiza a necessidade de terminar todas as sessões ativas para uma mitigação eficaz. O bug tem sido explorado desde o final de agosto, com criminosos usando-o para ciberespionagem. Espera-se que atores de ameaças financeiras explorem, por isso é ainda mais importante parar o Citrix Bleed antes que seja tarde demais.

Vulnerabilidade CVE-2023-4966 em andamento apesar da correção

Parece que, a partir de 30 de outubro, havia mais de 5.000 servidores vulneráveis expostos na internet pública. GreyNoise observou 137 endereços IP individuais tentando explorar essa vulnerabilidade do Citrix na semana passada. Apesar da divulgação rápida do Citrix e da emissão de um patch (CVE-2023-4966) em 10 de outubro, a situação escalou rapidamente. Mesmo após a aplicação do patch, os tokens de sessão persistiram, deixando os sistemas vulneráveis à exploração. A gravidade da situação é sublinhada pelo fato de que, como temido, equipes de ransomware aproveitaram a oportunidade para explorar essa vulnerabilidade, distribuindo scripts python para automatizar a cadeia de ataque.

Ferramentas e Passos Estrategicamente Planeados para os Ataques

Esses ataques assumiram uma natureza multifacetada à medida que progrediram além da exploração inicial. Os atacantes pareciam inicialmente envolvidos em reconhecimento de rede. No entanto, os objetivos obviamente se estenderam ao roubo de credenciais de contas críticas e mostraram movimento lateral através das redes comprometidas. Nesta fase, eles empregaram um conjunto diversificado de ferramentas, demonstrando uma abordagem bem orquestrada para suas atividades maliciosas.

Aqueles por trás dessas campanhas demonstraram um alto nível de sofisticação em sua abordagem, empregando uma ampla gama de ferramentas e técnicas para alcançar seus objetivos. Os atacantes usaram pedidos HTTP GET especialmente criados para forçar o appliance Citrix a revelar conteúdos da memória do sistema, incluindo cookies de sessão Netscaler AAA válidos. Isso tem permitido que eles contornem a autenticação multifator, tornando sua intrusão ainda mais insidiosa.

Fique atento à combinação específica de ferramentas

Uma ferramenta notável no seu arsenal é o FREEFIRE, um novo backdoor leve .NET que utiliza o Slack para comando e controle. Esta é a única ferramenta incomum no arsenal. Os ataques aproveitaram muitos processos padrão e nativos, além das ferramentas comuns de acesso remoto e gestão Atera, AnyDesk e SplashTop. Isso mostra o quanto os hackers trabalharam para permanecer invisíveis à detecção. De fato, enquanto individualmente, essas ferramentas são geralmente encontradas em ambientes empresariais legítimos, apenas a sua implantação combinada pelos atores da ameaça serve como um sinal de alerta significativo. A menos que o seu software de segurança e equipe estejam atentos a essa combinação indicativa de comprometimento, ela passaria despercebida.

Aqui está a lista de ferramentas que os hackers têm usado para recuperar informações de sessão e mover-se horizontalmente através das redes (bem como os seus propósitos, conforme descrito pelo Bleeping Computer):

  • net.exe – Reconhecimento do Active Directory (AD);
  • netscan.exe – enumeração de rede interna
  • 7-zip – criar um arquivo segmentado criptografado para comprimir dados de reconhecimento;
  • certutil – codificar (base64) e decodificar ficheiros de dados e implantar backdoors;
  • e.exe e d.dll – carregar na memória do processo LSASS e criar arquivos de despejo de memória;
  • sh3.exe – execute o comando Mimikatz LSADUMP para extração de credenciais;
  • FREEFIRE – novo backdoor leve .NET usando Slack para comando e controle
  • Atera – Monitorização e gestão remota;
  • AnyDesk – Ambiente de trabalho remoto;
  • SplashTop – Área de trabalho remota.

Como provavelmente concorda, nada de muito impróprio, a menos que os encontre todos combinados. Exceto por um, que é: FREEFIRE.

FREEFIRE em Particular Usado por Hackers no Citrix Bleed

Vale a pena notar que, embora algumas dessas ferramentas sejam comumente encontradas em ambientes empresariais, o uso combinado delas nessas campanhas é um forte indicador de uma violação. A Mandiant até lançou uma regra Yara empregada para detectar a presença de FREEFIRE em um dispositivo. Esta ferramenta é particularmente valiosa para ajudar as organizações a identificar proativamente sistemas comprometidos e tomar medidas rápidas para mitigar o risco.

Abaixo, pode encontrar a regra Yara para detetar FREEFIRE. Ainda assim, se desejar verificar a regra Yara lá ou ler as técnicas MITRE ATT&CK, estas encerram o artigo da Mandiant. Lá, também pode encontrar o link para o guia de remediação “Citrix NetScaler ADC/Gateway: CVE-2023-4966” da Mandiant em PDF.

As regras Yara da Mandiant para caçar o FREEFIRE no contexto do Citrix Bleed

E a regra como texto:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Alguns lembretes para evitar a vulnerabilidade Citrix NetScaler CVE-2023-4966

A convergência dessas descobertas destaca a necessidade urgente de as organizações adotarem uma abordagem abrangente de resposta a incidentes. Simplesmente aplicar as atualizações de segurança disponíveis é insuficiente para lidar com as violações existentes. O fato de ser essencial encerrar todas as sessões ativas para que não permaneçam exploráveis não pode ser suficientemente sublinhado. Uma resposta completa é imperativa para conter a violação, avaliar a extensão do comprometimento e, quando necessário, iniciar os passos necessários para a restauração do sistema.

O guia de remediação da Mandiant e outras publicações oferecem passos práticos essenciais para organizações que navegam por esses cenários desafiadores de pós-exploração. Organizações governamentais em todo o mundo estão transmitindo essas recomendações, avisos e processos de salvaguarda na tentativa de pôr fim a esses ataques.

TSplus Advanced Security - A Melhor Proteção Contra Citrix Bleed e outros Ataques

Estamos convencidos da nossa proteção cibernética 360° TSplus Advanced Security , é incomparável para proteger o seu negócio e infraestrutura de TI contra esta ameaça e outras. De fato, vulnerabilidades como a exploração do Citrix Bleed apontam para a inadequação da cibersegurança em muitos contextos e infraestruturas. Portanto, as empresas devem priorizar soluções abrangentes para proteger sua infraestrutura de TI e dados sensíveis. TSplus Advanced Security é uma resposta robusta e abrangente a essas preocupações urgentes.

Esta ferramenta de segurança abrangente oferece uma abordagem multifacetada para garantir a proteção dos sistemas de TI, protegendo contra uma ampla gama de ameaças, incluindo exploits de dia zero, malware e acesso não autorizado.


TSplus Advanced Security como parte de um conjunto de software remoto holístico

Uma das principais vantagens de TSplus Advanced Security reside na sua capacidade de fortalecer a infraestrutura de TI da sua organização contra vulnerabilidades como CVE-2023-4966, que têm um impacto de longo alcance. Permite às empresas protegerem os seus sistemas ao prevenir o acesso não autorizado e mitigar eficazmente as ameaças de cibersegurança.

Além disso, a ampla suíte de software TSplus oferece recursos inestimáveis que complementam o TSplus Advanced Security. Da mesma forma que os quatro pontos cardeais, temos quatro pilares para uma rede remota: segurança, acesso, monitoramento e suporte.

TSplus Remote Access para Encerramento de Sessão e Gestão Granular

Primeiramente TSplus Acesso Remoto inclui parâmetros de encerramento de sessão que aumentam a segurança ao garantir que as sessões dos usuários sejam corretamente terminadas. Principalmente, isso reduz o risco de acesso não autorizado. Este recurso é vital para resolver problemas correlacionados, como os causados pelos exploits do incidente Citrix Bleed. Ao garantir que nenhum token de sessão persista, mesmo após a aplicação de patches, ele fornece uma camada adicional de proteção.

Monitorização de Servidor TSplus para Vigilância de Sessões de Servidor e Utilizador

Além disso TSplus Monitoramento de Servidor é uma ferramenta indispensável para as organizações. De facto, permite monitorizar a saúde dos seus servidores e websites em tempo real. No contexto de vulnerabilidades como Citrix Bleed, a Monitorização de Servidores permite a identificação rápida de problemas, facilitando assim a iniciação de resolução de problemas e remediação atempada. Esta abordagem proativa é essencial para manter a integridade dos sistemas de TI e prevenir violações.

TSplus Remote Support para Controlo Remoto, Reparação e Formação

Por fim TSplus Suporte Remoto desempenha um papel fundamental na resolução de desafios de cibersegurança. Facilita a assistência remota e a intervenção não supervisionada para qualquer problema de TI, garantindo uma resolução rápida e minimizando os riscos associados a vulnerabilidades contínuas. Quer seja para resolver uma vulnerabilidade do Citrix ou qualquer outra preocupação de TI, o TSplus Remote Support capacita as organizações a responder de forma rápida, eficaz e segura, de qualquer lugar.

Como Conclusão da Vulnerabilidade Citrix Bleed CVE-2023-4966 Persistindo Apesar da Correção

Em resumo, o TSplus Advanced Security é uma ótima ferramenta contra tais vulnerabilidades. E, em combinação com o restante da suíte de software, forma uma linha robusta de defesa contra ameaças cibernéticas de todos os tipos, além de oferecer gestão granular, monitorização em tempo real e capacidades de resposta rápida. O que mais você poderia pedir para proteger suas infraestruturas de TI e salvaguardar dados sensíveis da empresa.

Quer pretenda proteger a infraestrutura de TI da sua empresa contra ciberataques ou substituir o Citrix por completo, entre em contato hoje por telefone, email ou através do nosso site e obtenha sua cotação ou teste em segundos ou com alguns cliques

Partilhar:

Facebook Twitter LinkedIn

A sua equipa TSplus

Artigos Relacionados

back to top of the page icon