We've detected you might be speaking a different language. Do you want to change to:

Obsah

Cyber správy sú tvorené príbehmi, každým ešte desivejším a znepokojujúcejším ako ten predchádzajúci, vhodným motívom pre koniec októbra. Citrix Bleed nie je výnimkou. Po predchádzajúcej zraniteľnosti a záplatovaní na začiatku leta, Citrix sa väčšinu tohto jesene dostáva na titulné stránky s novinkami o prenikaní do veľkých korporátnych a vládnych sietí. Tu je, ako zraniteľnosť Citrix Bleed CVE-2023-4966 spôsobuje nespavé noci v niektorých sférach, nasledujúce odporúčania a naše vlastné riešenia a ochrana na ochranu vášho vzdialeného infraštruktúry pred takýmito nebezpečenstvami. Správy nie sú všetky zlé.

Citrix NetScaler ADC a NetScaler Gateway pod palbou.

Citrix Bleed, kritická chyba zverejňovania informácií ovplyvňujúca NetScaler ADC a NetScaler Gateway, bola pod "masovou explozáciou", pričom tisíce zraniteľných serverov Citrix sú stále online napriek vydaniu záplaty 10. októbra. Odvtedy nás pravidelné vlny noviniek pripomínajú, že zraniteľnosť stále umožňuje útočníkom prístup k pamäti exponovaných zariadení. Tam útoky extrahujú relačné tokeny pre neoprávnený prístup, aj keď bola záplata aplikovaná.

Ransomware skupiny využívali túto zraniteľnosť a Mandiant sleduje viaceré skupiny zamerané na rôzne sektory globálne. Americká vláda ju klasifikovala ako neznámu zneužitú zraniteľnosť. Spoločnosť Mandiant, ktorá patrí Google, zdôrazňuje potrebu ukončiť všetky aktívne relácie pre účinné zmierňovanie. Chyba bola zneužívaná od konca augusta, pričom ju zločinci využívali na kybernetickú špionáž. Finanční hroziví aktéri sa očakávali, že ju využijú, preto je ešte dôležitejšie zastaviť Citrix Bleed skôr, než bude neskoro.

CVE-2023-4966 Zraniteľnosť pretrváva napriek oprave

Zdá sa, že k 30. októbru zostalo viac ako 5 000 zraniteľných serverov vystavených na verejnom internete. GreyNoise zaznamenal 137 jednotlivých IP adries, ktoré sa pokúsili využiť túto zraniteľnosť Citrixu v priebehu minulého týždňa. Napriek rýchlemu zverejneniu a vydaniu záplaty (CVE-2023-4966) zo strany Citrixu 10. októbra, situácia sa rýchlo zhoršila. Dokonca aj po aplikovaní záplaty, zostali relačné tokeny, čo zanechalo systémy zraniteľné voči zneužitiu. Závažnosť situácie je zdôraznená tým, že, ako sa obávali, skupiny ransomwaru využili túto zraniteľnosť, distribuujúc pythonové skripty na automatizáciu reťazca útokov.

Strategicky premyslené nástroje a kroky pre útoky

Tieto útoky získali viacero rozmerov, keď prekročili pôvodné využitie. Útočníci sa zdali byť pôvodne zapojení do siete na zisťovanie informácií. Avšak ciele sa zrejme rozšírili na krádež kritických účtových prihlasovacích údajov a preukázali laterálny pohyb cez kompromitované siete. V tejto fáze použili rôznorodú sadu nástrojov, čo demonštrovalo dobre zorganizovaný prístup k ich zlomyseľným aktivitám.

Tí, ktorí stoja za týmito kampaňami, preukázali vysokú úroveň sofistikovanosti vo svojom prístupe, používajúc širokú škálu nástrojov a techník na dosiahnutie svojich cieľov. Útočníci použili špeciálne vytvorené HTTP GET požiadavky na to, aby prinútili Citrix zariadenie odhaliť obsah pamäte systému, vrátane platných súborov cookies relácie Netscaler AAA. Toto im umožnilo obísť multifaktorovú autentifikáciu, čím ich vpád ešte viac zosilnili.

Dávajte pozor na konkrétnu kombináciu nástrojov

Jedným významným nástrojom v ich arzenále je FREEFIRE, nový ľahký .NET backdoor využívajúci Slack pre riadenie a kontrolu. Toto je jediný neobvyklý nástroj v arzenále. Útoky využívali mnoho štandardných a natívnych procesov, s pridaním bežného vzdialeného prístupu a nástrojov na správu ako Atera, AnyDesk a SplashTop. Toto ukazuje, ako tvrdo hackeri pracovali na tom, aby zostali neviditeľní pre detekciu. Skutočne, zatiaľ čo tieto nástroje sú zvyčajne nachádzané v legitímnych podnikových prostrediach, len ich kombinované nasadenie hrozbami slúži ako významná červená vlajka. Pokiaľ vaše bezpečnostné softvér a tím nezaznamenávajú túto kombináciu naznačujúcu kompromis, prejde nezaznamenané.

Tu je zoznam nástrojov, ktoré hackeři používajú na získanie informácií o reláciách a pohyb po sieťach (ako aj ich účely, ako popísané portálom Bleeping Computer):

  • net.exe – Aktívny adresár (AD) prieskum;
  • netscan.exe - vnútorné vyhodnocovanie siete;
  • 7-zip - vytvorte šifrovaný segmentovaný archív pre komprimovanie záznamových údajov;
  • certutil - kódovať (base64) a dekódovať dátové súbory a nasadiť zadné brány;
  • e.exe a d.dll - načítať do pamäte procesu LSASS a vytvoriť súbory pamäťového dumpu;
  • sh3.exe - spustite príkaz Mimikatz LSADUMP na extrakciu prihlasovacích údajov;
  • FREEFIRE – nový ľahký .NET zadný vchod využívajúci Slack na riadenie a kontrolu;
  • Atera – Vzdialené monitorovanie a riadenie;
  • AnyDesk – Vzdialená pracovná plocha;
  • SplashTop – Vzdialená pracovná plocha.

Ako pravdepodobne súhlasíte, nič príliš neobvyklé, pokiaľ ich všetky nájdete v kombinácii. Okrem jedného, to je: FREEFIRE.

FREEFIRE je obzvlášť používaný hackermi v Citrix Bleed.

Stojí za zmienku, že zatiaľ čo niektoré z týchto nástrojov sú bežne používané v podnikových prostrediach, ich kombinované použitie v týchto kampaniach je silným indikátorom porušenia. Mandiant dokonca uverejnil pravidlo Yara, ktoré sa používa na detekciu prítomnosti FREEFIRE na zariadení. Tento nástroj je obzvlášť cenný pri pomáhaní organizáciám proaktívne identifikovať kompromitované systémy a prijať rýchle opatrenia na zmiernenie rizika.

Nižšie nájdete pravidlo Yara na detekciu FREEFIRE. Ak však chcete overiť pravidlo Yara tam alebo si prečítať techniky MITRE ATT&CK, tieto uzavrite článok Mandiant. Tam nájdete aj ich odkaz na sprievodcu „Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation“ od Mandiant vo formáte PDF.

Pravidlá Yara od spoločnosti Mandiant na vyhľadávanie FREEFIRE v kontexte Citrix Bleed.

A pravidlo ako text:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Niektoré pripomienky na odrazenie zraniteľnosti Citrix NetScaler CVE-2023-4966

Konvergencia týchto zistení zdôrazňuje naliehavú potrebu, aby organizácie prijali komplexný prístup k riešeniu incidentov. Jednoduché aplikovanie dostupných bezpečnostných aktualizácií nestačí na riešenie existujúcich porušení. Skutočnosť, že je nevyhnutné uzavrieť všetky aktívne relácie, aby sa nestali zneužiteľnými, sa jednoducho nedá dostatočne zdôrazniť. Úplná reakcia je nevyhnutná na obmedzenie porušenia, posúdenie rozsahu kompromitu a v prípade potreby iniciovanie krokov potrebných na obnovu systému.

Mandiantov sprievodca odstraňovaním a ďalšie publikácie ponúkajú zásadné praktické kroky pre organizácie, ktoré sa v týchto náročných situáciách po explozii navigujú. Vládne organizácie po celom svete prenášajú tieto odporúčania, upozornenia a ochranné procesy v snaze zastaviť tieto útoky.

TSplus Pokročilá bezpečnosť - Najlepšia ochrana proti Citrix Bleed a iným útokom

Veríme, že naša 360° kybernetická ochrana, TSplus Advanced Security TSplus Advanced Security je neprekonateľným riešením na ochranu vášho podniku a IT infraštruktúry pred touto hrozbou a ďalšími. Skutočne, zraniteľnosti ako je Citrix Bleed exploit poukazujú na nedostatočnosť kybernetickej bezpečnosti v príliš mnohých kontextoch a infraštruktúrach. Preto by sa podniky mali zamerať na komplexné riešenia na ochranu svojej IT infraštruktúry a citlivých údajov. TSplus Advanced Security predstavuje robustné a všestranné riešenie týchto naliehavých obáv.

Tento komplexný bezpečnostný nástroj ponúka multifunkčný prístup na zabezpečenie ochrany IT systémov, chrániac pred širokou škálou hrozieb, vrátane zero-day útokov, malvéru a neoprávneného prístupu.


TSplus Pokročilá bezpečnosť ako súčasť celostného softvérového balíka pre vzdialený prístup

Jedným z kľúčových výhod je TSplus Advanced Security spočíva v jeho schopnosti posilniť IT infraštruktúru vašej organizácie proti zraniteľnostiam ako CVE-2023-4966, ktoré majú ďalekosiahly vplyv. Pomáha firmám zabezpečiť ich systémy tým, že bráni neoprávnenému prístupu a efektívne zmiernuje kybernetické hrozby.

Okrem toho, širší softvérový balík TSplus ponúka neoceniteľné funkcie, ktoré dopĺňajú TSplus Advanced Security. Podobne ako štyri hlavné strany, máme štyri pilierové body k vzdialenej sieti: bezpečnosť, prístup, monitorovanie a podpora.

TSplus Vzdialený prístup pre odhlásenie relácie a detailné riadenie.

Najprv TSplus Remote Access , čo zahŕňa parametre odhlásenia zo session, ktoré zlepšujú bezpečnosť tým, že zabezpečujú správne ukončenie relácií používateľov. Predovšetkým sa tým znižuje riziko neoprávnenej prístupu. Táto funkcia je nevyhnutná pri riešení súvisiacich problémov, ako sú tie, ktoré spôsobujú incidenty Citrix Bleed. Zabezpečením, že žiadne relačné tokeny nezostávajú, aj po záplatovaní, poskytuje dodatočnú vrstvu ochrany.

TSplus Server Monitoring pre monitorovanie servera a sledovanie používateľskej relácie.

Okrem toho TSplus Server Monitoring je nevyhnutným nástrojom pre organizácie. Skutočne vám umožňuje sledovať zdravie ich serverov a webových stránok v reálnom čase. V kontexte Citrix Bleed alebo podobných zraniteľností umožňuje monitorovanie serverov rýchle identifikovanie problémov, čo zase uľahčuje spustenie včasného riešenia a odstraňovania. Tento proaktívny prístup je nevyhnutný pre udržanie integrity IT systémov a predchádzanie porušeniam.

TSplus Vzdialená podpora pre vzdialenú kontrolu, opravu a školenie

Nakoniec TSplus Remote Support hrá kľúčovú úlohu pri riešení bezpečnostných výziev. Umožňuje vzdialenú pomoc a neobslužný zásah pri akomkoľvek IT probléme, zabezpečuje rýchle riešenie a minimalizuje riziká spojené s trvajúcimi zraniteľnosťami. Či už riešite zraniteľnosť Citrixu alebo akýkoľvek iný IT problém, TSplus Remote Support umožňuje organizáciám rýchlo, efektívne a bezpečne reagovať odkiaľkoľvek.

Ako záver k zraniteľnosti Citrix Bleed CVE-2023-4966, ktorá sa nechcela dať aj napriek oprave.

V záverečnom hodnotení je TSplus Advanced Security skvelý nástroj proti takýmto zraniteľnostiam. A v kombinácii s ďalším softvérovým balíkom tvorí robustnú líniu obrany proti kybernetickým hrozbám všetkých druhov a ponúka detailný manažment, monitorovanie v reálnom čase a rýchle reakčné schopnosti. Čo viac by ste mohli požiadať o zabezpečenie vašich IT infraštruktúr a ochranu citlivých firemných údajov.

Či chcete ochrániť IT infraštruktúru svojej spoločnosti pred kybernetickými útokmi alebo chcete úplne nahradiť Citrix, Neváhajte nás dnes kontaktovať telefonicky, e-mailom alebo cez našu webovú stránku. a získajte svoj odhad alebo skúšobnú verziu za niekoľko sekúnd alebo pár kliknutí.

Zdieľať:

Facebook Twitter LinkedIn

Váš tím TSplus

Príslušné príspevky

back to top of the page icon