We've detected you might be speaking a different language. Do you want to change to:

Innehållsförteckning

Cybernyheter består av berättelser som är mer skrämmande och oroande än de föregående, ett passande tema för slutet av oktober. Citrix Bleed är inget undantag. Efter en tidigare sårbarhet och patchning i början av sommaren har Citrix varit i rampljuset större delen av hösten med nyheter om intrång i stora företags- och regeringsnätverk. Här är hur Citrix Bleed sårbarhet CVE-2023-4966 orsakar sömnlösa nätter i vissa kretsar, följande rekommendationer och våra egna lösningar och skydd för att skydda din fjärrinfrastruktur mot sådana faror. Nyheterna är inte bara dåliga.

Citrix NetScaler ADC och NetScaler Gateway Under Fire

Citrix Bleed, en kritisk informationsläckagebugg som påverkar NetScaler ADC och NetScaler Gateway, har varit föremål för "massutnyttjande", med tusentals sårbara Citrix-servrar fortfarande online trots att en patch släpptes den 10 oktober. Sedan dess har regelbundna vågor av nyheter påmint oss om att sårbarheten fortfarande tillåter angripare att komma åt minnet hos exponerade enheter. Där extraherar attacker sessionstokens för obehörig åtkomst, även när patchen har installerats.

Ransomware-gäng har utnyttjat denna sårbarhet och Mandiant spårar flera grupper som riktar sig mot olika sektorer globalt. USA:s regering har klassificerat det som en okänd utnyttjad sårbarhet. Google-ägda Mandiant betonar behovet av att avsluta alla aktiva sessioner för effektiv riskminskning. Buggen har utnyttjats sedan slutet av augusti, med brottslingar som använder den för cyberspionage. Finansiella hotaktörer förväntas utnyttja det, så det är ännu viktigare att stoppa Citrix Bleed innan det är för sent.

CVE-2023-4966 Sårbarhet Fortsätter Trots Patchning

Det verkar som att, fram till den 30 oktober, hade över 5 000 sårbara servrar exponerats på den offentliga internet. GreyNoise observerade 137 individuella IP-adresser som försökte utnyttja denna sårbarhet i Citrix under den senaste veckan. Trots Citrix snabba offentliggörande och utfärdande av en patch (CVE-2023-4966) den 10 oktober eskalerade situationen snabbt. Även efter att patchen hade applicerats, kvarstod sessions-token, vilket lämnade systemen sårbara för exploatering. Allvaret i situationen understryks av det faktum att, som befarat, ransomware-grupper har utnyttjat möjligheten att exploatera denna sårbarhet, genom att distribuera python-skript för att automatisera attackkedjan.

Strategiskt genomtänkta verktyg och steg för attackerna

Dessa attacker har antagit en mångfacetterad karaktär när de har fortskridit bortom den initiala exploateringen. Angriparna verkade inledningsvis engagerade i nätverksrekognosering. Ändå har målen uppenbarligen utökats till stöld av kritiska kontokrav och visat lateralt rörelse genom de komprometterade nätverken. I denna fas använde de en varierad uppsättning verktyg, vilket visar en väl orkestrerad strategi för sina skadliga aktiviteter.

De som ligger bakom dessa kampanjer har visat en hög nivå av sofistikering i sitt tillvägagångssätt, genom att använda en bred uppsättning verktyg och tekniker för att uppnå sina mål. Angriparna använde speciellt utformade HTTP GET-förfrågningar för att tvinga Citrix-applikationen att avslöja systemminnesinnehåll, inklusive giltiga Netscaler AAA-sessioncookies. Detta har möjliggjort för dem att kringgå multifaktorautentisering, vilket gör deras intrång ännu mer förrädiskt.

Se upp för den specifika verktygskombinationen

Ett anmärkningsvärt verktyg i deras arsenal är FREEFIRE, en ny lättviktig .NET bakdörr som använder Slack för kommando och kontroll. Detta är det enda ovanliga verktyget i arsenalet. Attackerna utnyttjade många standard- och nativa processer, med tillägget av de vanliga fjärrskrivbordsåtkomst- och hanteringsverktygen Atera, AnyDesk och SplashTop. Detta visar hur hårt hackare har arbetat för att förbli osynliga för upptäckt. Verkligen, medan dessa verktyg individuellt sett vanligtvis återfinns i legitima företagsmiljöer, är det endast deras kombinerade användning av hotaktörerna som utgör en betydande varningsflagg. Om inte din säkerhetsprogramvara och team håller utkik efter denna kombination som indikerar en kompromiss, skulle den passera obemärkt förbi.

Här är listan över verktyg som hackare har använt för att hämta sessioninformation och röra sig horisontellt genom nätverk (samt deras syften enligt beskrivning av Bleeping Computer):

  • net.exe – Aktiv katalog (AD) rekognosering;
  • netscan.exe - intern nätverksuppräkning;
  • 7-zip - skapa en krypterad segmenterad arkiv för att komprimera rekognoseringsdata;
  • certutil – koda (base64) och avkoda datafiler och implementera bakdörrar;
  • e.exe och d.dll - ladda in i LSASS-processens minne och skapa minnesdumpfiler;
  • sh3.exe – kör Mimikatz LSADUMP-kommandot för att extrahera autentiseringsuppgifter;
  • FREEFIRE – nytt lättviktigt .NET bakdörr som använder Slack för kommando och kontroll;
  • Atera – Fjärrövervakning och hantering;
  • AnyDesk – Fjärrskrivbord;
  • SplashTop – Fjärrskrivbord.

Som du förmodligen håller med om, ingenting särskilt förrän du hittar dem alla kombinerade. Förutom en, det vill säga: FREEFIRE.

FREEFIRE används särskilt av hackare i Citrix Bleed.

Det är värt att notera att medan vissa av dessa verktyg vanligtvis återfinns i företagsmiljöer, är deras kombinerade användning i dessa kampanjer en stark indikator på en intrång. Mandiant har till och med släppt en Yara-regel som används för att upptäcka närvaron av FREEFIRE på en enhet. Detta verktyg är särskilt värdefullt för att hjälpa organisationer att proaktivt identifiera komprometterade system och vidta snabba åtgärder för att minska risken.

Nedan hittar du Yara-regeln för att upptäcka FREEFIRE. Om du vill verifiera Yara-regeln där eller läsa MITRE ATT&CK-teknikerna, stänger dessa artikeln från Mandiant. Där kan du också hitta deras länk till Mandiants "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" guide i PDF.

Mandiants Yara-regler för att jaga ner FREEFIRE i Citrix Bleed-sammanhang

Och regeln som text:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Några påminnelser för att avvärja Citrix NetScaler-sårbarhet CVE-2023-4966

Sammanflödet av dessa resultat understryker det brådskande behovet för organisationer att anta en omfattande incidentresponsansats. Att helt enkelt tillämpa de tillgängliga säkerhetsuppdateringarna är otillräckligt för att hantera befintliga intrång. Det faktum att det är nödvändigt att stänga alla aktiva sessioner så att de inte förblir exploaterbara kan helt enkelt inte understrykas tillräckligt. En fullständig respons är avgörande för att begränsa intrånget, bedöma omfattningen av kompromissen och vid behov initiera de steg som krävs för systemåterställning.

Mandiants åtgärdsanvisning och andra publikationer erbjuder väsentliga praktiska steg för organisationer som navigerar i dessa utmanande efter-exploateringsscenarier. Offentliga organisationer globalt vidarebefordrar dessa rekommendationer, varningar och skyddsprocesser i ett försök att stoppa dessa attacker.

TSplus Avancerad säkerhet - Det bästa skyddet mot Citrix Bleed och andra attacker

Vi är övertygade om vår 360° cyberskydd. TSplus Advanced Security TSplus Advanced Security är oöverträffad för att skydda ditt företag och IT-infrastrukturen mot detta hot och andra. Verkligen, sårbarheter som Citrix Bleed-exploater pekar på otillräckligheten av cybersäkerhet i alltför många sammanhang och infrastrukturer. Därför måste företag prioritera omfattande lösningar för att skydda sin IT-infrastruktur och känsliga data. TSplus Advanced Security står som ett robust och heltäckande svar på dessa brådskande bekymmer.

Denna omfattande säkerhetsverktyg erbjuder en mångsidig strategi för att säkerställa skyddet av IT-system, skydda mot ett brett spektrum av hot, inklusive zero-day-exploater, skadlig kod och obehörig åtkomst.


TSplus Avancerad säkerhet som en del av en helhetslösning för fjärrprogramvara

En av de viktigaste fördelarna med TSplus Advanced Security Ligger i dess förmåga att förstärka din organisations IT-infrastruktur mot sårbarheter som CVE-2023-4966, vilket har en långtgående effekt. Det gör det möjligt för företag att säkra sina system genom att förhindra obehörig åtkomst och effektivt mildra cybersäkerhetshot.

Dessutom erbjuder den bredare TSplus programvarusviten ovärderliga funktioner som kompletterar TSplus Advanced Security. Liknande de fyra huvudpunkterna har vi fyra pelare till ett fjärrnätverk: säkerhet, åtkomst, övervakning och support.

TSplus Fjärråtkomst för Session Logoff och Granulär Hantering

Först TSplus Remote Access Detta inkluderar session logoff-parametrar som förbättrar säkerheten genom att se till att användarsessioner avslutas korrekt. Framför allt minskar detta risken för obehörig åtkomst. Denna funktion är avgörande för att hantera relaterade problem som de som orsakas av exploateringen av Citrix Bleed-incidenten. Genom att se till att inga sessionstokens finns kvar, även efter patchning, ger den en ytterligare skyddsnivå.

TSplus Serverövervakning för server- och användarsessionövervakning

Dessutom TSplus Server Monitoring Är ett oumbärligt verktyg för organisationer. Det gör det möjligt att övervaka hälsotillståndet för deras servrar och webbplatser i realtid. I kontexten av Citrix Bleed eller liknande sårbarheter, möjliggör Serverövervakning snabb identifiering av problem, vilket i sin tur gör det lättare att initiera snabb felsökning och åtgärder. Denna proaktiva strategi är avgörande för att upprätthålla integriteten hos IT-system och förhindra intrång.

TSplus Fjärrsupport för distanskontroll, felsökning och träning

Slutligen TSplus Remote Support Spelar en avgörande roll för att hantera cybersäkerhetsutmaningar. Det underlättar fjärrhjälp och oövervakad ingripande för alla IT-frågor, vilket säkerställer snabb lösning och minimerar riskerna förknippade med pågående sårbarheter. Oavsett om det gäller felsökning av en Citrix-sårbarhet eller hantering av någon annan IT-fråga, ger TSplus Remote Support organisationer möjlighet att svara snabbt, effektivt och säkert, var som helst.

Som en slutsats till Citrix Bleed Vulnerability CVE-2023-4966 som stannar kvar trots patchning

Sammanfattningsvis är TSplus Advanced Security ett utmärkt verktyg mot sådana sårbarheter. Och, i kombination med resten av programvarusviten, bildar den en robust försvarslinje mot cybersäkerhetshot av alla slag samtidigt som den erbjuder granulär hantering, realtidsövervakning och snabba svarsförmågor. Vad mer kan du be om för att säkra dina IT-infrastrukturer och skydda känsliga företagsdata.

Oavsett om du vill skydda ditt företags IT-infrastruktur mot cyberattacker eller vill ersätta Citrix som helhet, Kontakta oss idag via telefon, e-post eller via vår webbplats. och få din offert eller provperiod på några sekunder eller några klick.

Dela:

Facebook Twitter LinkedIn

Ditt TSplus Team

Relaterade inlägg

back to top of the page icon