We've detected you might be speaking a different language. Do you want to change to:

Cuprins

Știrile despre cyber sunt alcătuite din povești tot mai înfricoșătoare și îngrijorătoare decât cele anterioare, un subiect potrivit pentru sfârșitul lunii octombrie. Citrix Bleed nu face excepție. După o vulnerabilitate anterioară și remedierea acesteia la începutul verii, Citrix a fost în centrul atenției în mare parte a acestui toamnă cu știri despre intruziuni în rețelele corporative și guvernamentale mari. Iată cum vulnerabilitatea Citrix Bleed CVE-2023-4966 provoacă nopți nedormite în anumite medii, urmând recomandări și soluțiile noastre proprii pentru a proteja infrastructura dvs. remote împotriva unor astfel de pericole. Știrile nu sunt doar rele.

Citrix NetScaler ADC și NetScaler Gateway sub foc

Citrix Bleed, o vulnerabilitate critică de divulgare a informațiilor care afectează NetScaler ADC și NetScaler Gateway, a fost supusă la "exploatare în masă", cu mii de servere Citrix vulnerabile încă online în ciuda lansării unui patch pe 10 octombrie. De atunci, valuri regulate de știri ne-au reamintit că vulnerabilitatea încă permite atacatorilor să acceseze memoria dispozitivelor expuse. Acolo, atacurile extrag token-uri de sesiune pentru acces neautorizat, chiar și după ce patch-ul a fost aplicat.

Grupurile de ransomware au exploatat această vulnerabilitate și Mandiant urmărește mai multe grupuri care vizează diferite sectoare la nivel global. Guvernul SUA a clasificat-o ca o vulnerabilitate exploatată necunoscută. Mandiant, deținut de Google, subliniază necesitatea de a încheia toate sesiunile active pentru o mitigare eficientă. Bug-ul a fost exploatat începând cu sfârșitul lunii august, cu infractorii care îl folosesc pentru spionaj cibernetic. Se așteaptă ca actorii de amenințare financiară să profite de aceasta, așa că este cu atât mai important să se oprească Citrix Bleed înainte să fie prea târziu.

CVE-2023-4966 Vulnerabilitate în curs de desfășurare în ciuda remedierii

Se pare că, până pe 30 octombrie, au rămas peste 5.000 de servere vulnerabile expuse pe internetul public. GreyNoise a observat 137 de adrese IP individuale încercând să exploateze această vulnerabilitate Citrix în ultima săptămână. În ciuda divulgării prompte a Citrix și a emiterii unui patch (CVE-2023-4966) pe 10 octombrie, situația s-a escaladat rapid. Chiar și după aplicarea patch-ului, token-urile de sesiune au persistat, lăsând sistemele vulnerabile la exploatare. Gravitatea situației este subliniată de faptul că, așa cum se temea, echipele de ransomware au profitat de oportunitatea de a exploata această vulnerabilitate, distribuind scripturi python pentru automatizarea lanțului de atac.

Instrumente și pași strategic gândiți pentru atacuri

Aceste atacuri au îmbrăcat o natură multifacetică pe măsură ce au progresat dincolo de exploatarea inițială. Atacatorii păreau inițial implicați în recunoașterea rețelei. Cu toate acestea, obiectivele s-au extins evident către furtul de credențiale de cont critice și au arătat mișcări laterale prin rețelele compromise. În această fază, au folosit o gamă diversă de instrumente, demonstrând o abordare bine orchestrată a activităților lor malitioase.

Cei din spatele acestor campanii au demonstrat un nivel ridicat de sofisticare în abordarea lor, folosind o gamă largă de instrumente și tehnici pentru a-și atinge obiectivele. Atacatorii au folosit cereri HTTP GET special create pentru a forța aparatul Citrix să dezvăluie conținutul memoriei sistemului, inclusiv cookie-urile de sesiune valide Netscaler AAA. Acest lucru le-a permis să ocolească autentificarea multifactor, făcându-și intruziunea chiar mai insidioasă.

Fii atent la combinația specifică de instrumente

Un instrument remarcabil din arsenalul lor este FREEFIRE, un backdoor .NET inovator și ușor folosind Slack pentru comandă și control. Acesta este singurul instrument neobișnuit din arsenal. Atacurile au folosit multe procese standard și native, cu adăugarea accesului și a instrumentelor de management de desktop la distanță obișnuite Atera, AnyDesk și SplashTop. Acest lucru arată cât de mult au lucrat hackerii pentru a rămâne invizibili detectării. Într-adevăr, în timp ce individual, aceste instrumente sunt în general găsite în medii de afaceri legitime, doar implementarea lor combinată de către actorii amenințării servește ca un semnal de alarmă semnificativ. Cu excepția cazului în care software-ul și echipa dvs. de securitate sunt atente la această combinație indicativă a unei compromiteri, aceasta ar trece neobservată.

Iată lista de instrumente pe care hackerii le-au folosit pentru a obține informații despre sesiune și a se deplasa orizontal prin rețele (precum și scopurile lor așa cum sunt descrise de Bleeping Computer):

  • net.exe – Recunoașterea Active Directory (AD);
  • netscan.exe - enumerare rețea internă;
  • 7-zip - creați un arhivă segmentată criptată pentru comprimarea datelor de recunoaștere;
  • certutil - codificați (base64) și decodificați fișiere de date și implementați backdoor-uri;
  • e.exe și d.dll - încărcați în memoria procesului LSASS și creați fișiere de memorie de tip dump;
  • sh3.exe - rulează comanda Mimikatz LSADUMP pentru extragerea de credențiale;
  • FREEFIRE – noutățile ușoare .NET backdoor folosind Slack pentru comandă și control;
  • Atera - Monitorizare și gestionare la distanță;
  • AnyDesk – Desktop la distanță;
  • SplashTop – Desktop la distanță.

As you probably agree, nimic deosebit cu excepția cazului în care le găsiți pe toate combinate. Cu excepția uneia, aceea este: FREEFIRE.

FREEFIRE în special folosit de hackeri în Citrix Bleed

Mentionăm că, în timp ce unele dintre aceste instrumente sunt întâlnite frecvent în medii de afaceri, utilizarea lor combinată în aceste campanii este un indicator puternic al unei încălcări. Mandiant a lansat chiar o regulă Yara folosită pentru a detecta prezența FREEFIRE pe un dispozitiv. Acest instrument este deosebit de valoros în ajutarea organizațiilor să identifice în mod proactiv sistemele compromise și să ia măsuri rapide pentru a reduce riscul.

Mai jos, puteți găsi regula Yara pentru detectarea FREEFIRE. Cu toate acestea, dacă doriți să verificați regula Yara acolo sau să citiți tehnicile MITRE ATT&CK, acestea închid articolul Mandiant. Acolo, puteți găsi și linkul lor către ghidul de remediere "Citrix NetScaler ADC/Gateway: CVE-2023-4966" al Mandiant în format PDF.

Mandiant's regulile Yara pentru a vâna FREEFIRE în contextul Citrix Bleed

Și regula ca text:

Regula Yara: import "pe" regula M_Hunting_Backdoor_FREEFIRE { meta: autor = "Mandiant" descriere = "Aceasta este o regulă de vânătoare pentru detectarea probelor FREEFIRE folosind secvențe de cod OP în metoda getLastRecord" md5 = "eb842a9509dece779d138d2e6b0f6949" familie_malware = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condiție: uint16(0) == 0x5A4D și dimensiune fișier >= 5KB și pe.imports("mscoree.dll") și toate acestea

Unele mementouri pentru respingerea vulnerabilității Citrix NetScaler CVE-2023-4966

Convergența acestor constatări subliniază necesitatea urgentă ca organizațiile să adopte o abordare cuprinzătoare a răspunsului la incidente. Aplicarea simplă a actualizărilor de securitate disponibile este insuficientă în abordarea încălcărilor existente. Faptul că este esențial să închideți toate sesiunile active pentru a preveni exploatarea lor nu poate fi suficient subliniat. Un răspuns complet este imperativ pentru a limita încălcarea, a evalua amploarea compromiterii și, acolo unde este necesar, a iniția pașii necesari pentru restaurarea sistemului.

Ghidul de remediere al Mandiant și alte publicații oferă pași practici esențiali pentru organizațiile care navighează în aceste scenarii dificile de post-exploatare. Organizațiile guvernamentale la nivel global transmit aceste recomandări, avertismente și procese de protecție într-un efort de a pune capăt acestor atacuri.

TSplus Advanced Security - Cea mai bună protecție împotriva Citrix Bleed și altor atacuri

Suntem convinși de protecția noastră cibernetică 360°, TSplus Advanced Security , este de neegalat pentru a proteja afacerea și infrastructura IT împotriva acestei amenințări și a altora. De fapt, vulnerabilități precum exploatarea Citrix Bleed arată insuficiența cibernetică în prea multe contexte și infrastructuri. Prin urmare, afacerile trebuie să prioritizeze soluții cuprinzătoare pentru a-și proteja infrastructura IT și datele sensibile. Securitatea Avansată TSplus se ridică ca un răspuns robust și cuprinzător la aceste probleme presante.

Acest instrument de securitate cuprinzător oferă o abordare multifacetică pentru a asigura protecția sistemelor IT, protejând împotriva unei game largi de amenințări, inclusiv exploatarea zero-day, malware și accesul neautorizat.


TSplus Advanced Security ca parte a unui pachet software complet pentru acces la distanță.

Unul dintre principalele beneficii ale TSplus Advanced Security Stă în capacitatea sa de a întări infrastructura IT a organizației dvs. împotriva vulnerabilităților precum CVE-2023-4966, care au un impact de amploare. Permite întreprinderilor să-și securizeze sistemele prin prevenirea accesului neautorizat și reducerea eficientă a amenințărilor cibernetice.

În plus, suita de software mai largă TSplus oferă caracteristici inestimabile care completează Securitatea Avansată TSplus. Similar celor patru puncte cardinale, avem patru piloni pentru o rețea remote: securitate, acces, monitorizare și suport.

TSplus Acces la Distanță pentru Deconectarea Sesiunii și Managementul Granular

În primul rând, TSplus Remote Access , astfel, include parametrii de deconectare a sesiunii care îmbunătățesc securitatea prin asigurarea că sesiunile utilizatorilor sunt corect terminate. În primul rând, acest lucru reduce riscul de acces neautorizat. Această caracteristică este vitală în abordarea problemelor corelate, cum ar fi cele cauzate de exploatarea incidentului Citrix Bleed. Prin asigurarea că nu persistă niciun token de sesiune, chiar și după aplicarea patch-urilor, oferă un strat suplimentar de protecție.

Monitorizarea serverului TSplus pentru supravegherea serverului și a sesiunilor de utilizator.

În plus, TSplus Server Monitoring este un instrument indispensabil pentru organizații. Într-adevăr, vă permite să monitorizați sănătatea serverelor și site-urilor lor în timp real. În contextul vulnerabilităților Citrix Bleed sau similare, Monitorizarea Serverului permite identificarea rapidă a problemelor, facilitând astfel inițierea promptă a depanării și remedierii. Acest abordare proactivă este esențială pentru menținerea integrității sistemelor IT și prevenirea încălcărilor.

TSplus Suport la Distanță pentru Control, Reparare și Instruire

In final. TSplus Remote Support joacă un rol crucial în abordarea provocărilor de securitate cibernetică. Facilitează asistența la distanță și intervenția neasistată pentru orice problemă IT, asigurând rezolvarea rapidă și minimizarea riscurilor asociate vulnerabilităților în curs de desfășurare. Indiferent dacă se rezolvă o vulnerabilitate Citrix sau se abordează orice altă problemă IT, Suportul Remote TSplus îi împuternicește pe organizații să răspundă rapid, eficient și în siguranță, de oriunde.

Ca o concluzie la vulnerabilitatea Citrix Bleed CVE-2023-4966 care își prelungește șederea în ciuda remedierii.

Pe scurt, TSplus Advanced Security este o unealtă excelentă împotriva unor astfel de vulnerabilități. Și, în combinație cu restul suitei de software, formează o linie robustă de apărare împotriva amenințărilor cibernetice de toate tipurile, oferind în același timp management granular, monitorizare în timp real și capacități de răspuns rapid. Ce mai poți cere pentru a-ți securiza infrastructurile IT și a-ți proteja datele sensibile ale companiei.

Indiferent dacă doriți să vă protejați infrastructura IT a companiei împotriva atacurilor cibernetice sau doriți să înlocuiți complet Citrix, contactați-ne astăzi prin telefon, e-mail sau prin intermediul site-ului nostru web și obțineți oferta sau încercarea dvs. în câteva secunde sau câteva clicuri.

Partajare:

Facebook Twitter LinkedIn

Echipa dvs. TSplus

Articole conexe

back to top of the page icon