We've detected you might be speaking a different language. Do you want to change to:

Содержание

Киберновости состоят из историй, каждая из которых более пугающая и тревожная, чем предыдущая, что является подходящей темой для конца октября. Citrix Bleed не является исключением. После предыдущей уязвимости и исправления в начале лета, Citrix большую часть этой осени попадает в заголовки новостей с сообщениями о проникновении в крупные корпоративные и правительственные сети. Вот как уязвимость Citrix Bleed CVE-2023-4966 вызывает бессонные ночи в некоторых сферах, последующие рекомендации и наши собственные решения и защита для охраны вашей удаленной инфраструктуры от таких опасностей. Новости не все плохие.

Citrix NetScaler ADC и NetScaler Gateway под огнем

Citrix Bleed, критическая уязвимость, связанная с раскрытием информации, затрагивающая NetScaler ADC и NetScaler Gateway, подвергается "массовой эксплуатации", при этом тысячи уязвимых серверов Citrix все еще находятся в сети, несмотря на выпуск патча 10 октября. С тех пор регулярные волны новостей напоминают нам, что уязвимость все еще позволяет злоумышленникам получать доступ к памяти открытых устройств. Там атаки извлекают токены сессий для несанкционированного доступа, даже после применения патча.

Банды вымогателей эксплуатируют эту уязвимость, и Mandiant отслеживает несколько групп, нацеленных на различные сектора по всему миру. Правительство США классифицировало это как неизвестную эксплуатируемую уязвимость. Принадлежащая Google компания Mandiant подчеркивает необходимость завершения всех активных сессий для эффективного смягчения последствий. Уязвимость эксплуатируется с конца августа, и преступники используют ее для кибершпионажа. Ожидается, что финансовые угрозы также будут использовать эту уязвимость, поэтому важно остановить Citrix Bleed, пока не стало слишком поздно.

Уязвимость CVE-2023-4966 продолжается несмотря на исправление

По состоянию на 30 октября, более 5,000 уязвимых серверов оставались открытыми в публичном интернете. GreyNoise зафиксировал 137 отдельных IP-адресов, пытающихся использовать эту уязвимость Citrix за последнюю неделю. Несмотря на оперативное раскрытие информации и выпуск патча (CVE-2023-4966) Citrix 10 октября, ситуация быстро обострилась. Даже после применения патча, сессионные токены сохранялись, оставляя системы уязвимыми для эксплуатации. Серьезность ситуации подчеркивается тем, что, как и опасались, группы, занимающиеся вымогательским ПО, воспользовались возможностью использовать эту уязвимость, распространяя python-скрипты для автоматизации цепочки атаки.

Стратегически продуманные инструменты и шаги для атак

Эти атаки приобрели многогранный характер по мере их развития за пределы первоначальной эксплуатации. Изначально злоумышленники, казалось, занимались разведкой сети. Однако цели явно расширились до кражи критических учетных данных и демонстрации латерального перемещения через скомпрометированные сети. На этом этапе они использовали разнообразный набор инструментов, демонстрируя хорошо скоординированный подход к своим злонамеренным действиям.

Те, кто стоит за этими кампаниями, продемонстрировали высокий уровень изощренности в своем подходе, используя широкий спектр инструментов и техник для достижения своих целей. Злоумышленники использовали специально созданные HTTP GET-запросы, чтобы заставить устройство Citrix раскрыть содержимое системной памяти, включая действительные сессионные cookies Netscaler AAA. Это позволяло им обходить многофакторную аутентификацию, делая их вторжение еще более коварным.

Следите за конкретной комбинацией инструментов

Одним из примечательных инструментов в их арсенале является FREEFIRE, новый легковесный .NET бэкдор, использующий Slack для команд и управления. Это единственный необычный инструмент в арсенале. Атаки использовали множество стандартных и встроенных процессов, а также обычные инструменты для удаленного доступа и управления рабочим столом, такие как Atera, AnyDesk и SplashTop. Это показывает, как усердно хакеры работали, чтобы оставаться незамеченными. Действительно, хотя по отдельности эти инструменты обычно встречаются в легитимных корпоративных средах, только их совместное использование злоумышленниками служит значительным сигналом тревоги. Если ваше программное обеспечение безопасности и команда не следят за этой комбинацией, указывающей на компрометацию, это останется незамеченным.

Вот список инструментов, которые хакеры использовали для получения информации о сеансах и горизонтального перемещения по сетям (а также их назначение, описанное Bleeping Computer):

  • net.exe – Разведка Active Directory (AD);
  • netscan.exe – перечисление внутренней сети
  • 7-zip – создать зашифрованный сегментированный архив для сжатия данных разведки;
  • certutil – кодировать (base64) и декодировать файлы данных и внедрять бэкдоры;
  • e.exe и d.dll – загрузить в память процесса LSASS и создать файлы дампа памяти;
  • sh3.exe – выполните команду Mimikatz LSADUMP для извлечения учетных данных;
  • FREEFIRE – новый легковесный .NET бэкдор, использующий Slack для команд и управления;
  • Atera – Удаленный мониторинг и управление;
  • AnyDesk – Удаленный рабочий стол;
  • SplashTop – Удаленный рабочий стол.

Как вы, вероятно, согласитесь, ничего особенного, если только вы не найдете их все вместе. За исключением одного: FREEFIRE.

FREEFIRE в частности используется хакерами в Citrix Bleed

Стоит отметить, что, хотя некоторые из этих инструментов обычно встречаются в корпоративных средах, их совместное использование в этих кампаниях является сильным признаком нарушения безопасности. Mandiant даже выпустила правило Yara, используемое для обнаружения присутствия FREEFIRE на устройстве. Этот инструмент особенно ценен для организаций, помогая им проактивно выявлять скомпрометированные системы и быстро принимать меры для снижения риска.

Ниже вы можете найти правило Yara для обнаружения FREEFIRE. Тем не менее, если вы хотите проверить правило Yara там или прочитать техники MITRE ATT&CK, они закрывают статью Mandiant. Там вы также можете найти ссылку на руководство Mandiant “Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation” в формате PDF.

Правила Yara от Mandiant для поиска FREEFIRE в контексте Citrix Bleed

И правило как текст:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Некоторые напоминания о защите от уязвимости Citrix NetScaler CVE-2023-4966

Сходство этих выводов подчеркивает настоятельную необходимость для организаций принять комплексный подход к реагированию на инциденты. Простое применение доступных обновлений безопасности недостаточно для устранения существующих нарушений. Тот факт, что необходимо закрыть все активные сеансы, чтобы они не оставались уязвимыми, нельзя недооценивать. Полноценный ответ необходим для сдерживания нарушения, оценки степени компрометации и, при необходимости, инициирования шагов, необходимых для восстановления системы.

Руководство по устранению последствий от Mandiant и другие публикации предлагают важные практические шаги для организаций, сталкивающихся с этими сложными пост-эксплуатационными сценариями. Государственные организации по всему миру передают эти рекомендации, предупреждения и процессы защиты, чтобы остановить эти атаки.

TSplus Advanced Security - лучшая защита от Citrix Bleed и других атак

Мы убеждены в нашей 360° киберзащите TSplus Advanced Security , не имеет себе равных для защиты вашего бизнеса и ИТ-инфраструктуры от этой и других угроз. Действительно, уязвимости, такие как эксплойт Citrix Bleed, указывают на недостаточность кибербезопасности во многих контекстах и инфраструктурах. Поэтому предприятия должны приоритетно рассматривать комплексные решения для защиты своей ИТ-инфраструктуры и конфиденциальных данных. TSplus Advanced Security является надежным и всеобъемлющим ответом на эти насущные проблемы.

Этот комплексный инструмент безопасности предлагает многоаспектный подход для обеспечения защиты ИТ-систем, защищая от широкого спектра угроз, включая уязвимости нулевого дня, вредоносное ПО и несанкционированный доступ.


TSplus Advanced Security как часть целостного пакета удаленного программного обеспечения

Один из ключевых преимуществ TSplus Advanced Security Заключается в его способности укрепить информационную инфраструктуру вашей организации от уязвимостей, таких как CVE-2023-4966, которые имеют далеко идущее воздействие. Он позволяет бизнесам обезопасить свои системы, предотвращая несанкционированный доступ и эффективно смягчая кибербезопасностные угрозы.

Кроме того, более широкий набор программного обеспечения TSplus предлагает ценные функции, которые дополняют TSplus Advanced Security. Подобно четырем сторонам света, у нас есть четыре столпа удаленной сети: безопасность, доступ, мониторинг и поддержка.

TSplus Remote Access для завершения сеанса и детального управления

Во-первых TSplus Удаленный доступ Таким образом, включает параметры завершения сеанса, которые повышают безопасность, гарантируя правильное завершение пользовательских сеансов. Это значительно снижает риск несанкционированного доступа. Эта функция жизненно важна для решения связанных проблем, таких как те, которые возникли в результате инцидента Citrix Bleed. Обеспечивая отсутствие сеансовых токенов даже после исправления, она предоставляет дополнительный уровень защиты.

Мониторинг сервера TSplus для наблюдения за сервером и пользовательскими сессиями

В дополнение Мониторинг сервера TSplus является незаменимым инструментом для организаций. Действительно, он позволяет вам в режиме реального времени отслеживать состояние их серверов и веб-сайтов. В контексте уязвимостей, таких как Citrix Bleed или аналогичных, мониторинг серверов позволяет быстро выявлять проблемы, что, в свою очередь, облегчает своевременное устранение и исправление. Этот проактивный подход необходим для поддержания целостности ИТ-систем и предотвращения нарушений.

TSplus Remote Support для удаленного управления, исправления и обучения

Наконец TSplus Remote Support играет ключевую роль в решении проблем кибербезопасности. Он облегчает удаленную помощь и вмешательство без присутствия для любой ИТ-проблемы, обеспечивая быстрое решение и минимизируя риски, связанные с текущими уязвимостями. Независимо от того, устраняете ли вы уязвимость Citrix или решаете любую другую ИТ-проблему, TSplus Remote Support позволяет организациям реагировать быстро, эффективно и безопасно, из любого места.

В заключение уязвимости Citrix Bleed CVE-2023-4966, которая задерживается несмотря на исправления

В итоге, TSplus Advanced Security является отличным инструментом против таких уязвимостей. А в сочетании с остальным программным пакетом он формирует надежную линию защиты от киберугроз всех видов, а также предлагает детальное управление, мониторинг в реальном времени и возможности быстрого реагирования. Что еще можно пожелать для защиты ваших ИТ-инфраструктур и обеспечения безопасности конфиденциальных данных компании.

Хотите ли вы защитить ИТ-инфраструктуру вашей компании от кибератак или заменить Citrix полностью, свяжитесь с нами сегодня по телефону, электронной почте или через наш сайт и получите ваш запрос или пробную версию за несколько секунд или кликов

Поделиться:

Facebook Twitter LinkedIn

Ваша команда TSplus

Связанные сообщения

back to top of the page icon