We've detected you might be speaking a different language. Do you want to change to:

สารบัญ

ข่าวไซเบอร์ประกอบด้วยเรื่องราวที่น่ากลัวและทำให้กังวลมากขึ้นในแต่ละครั้ง ซึ่งเป็นธีมที่เหมาะสมสำหรับปลายเดือนตุลาคม Citrix Bleed ไม่ได้เป็นข้อยกเว้น หลังจากช่องโหว่ก่อนหน้าและการแก้ไขในช่วงต้นฤดูร้อน Citrix ได้เป็นหัวข้อหลักในสื่อมวลชนส่วนใหญ่ของฤดูใบไม้ร่วงนี้ด้วยข่าวเกี่ยวกับการเข้าถึงเครือข่ายของบริษัทใหญ่และรัฐบาล นี่คือว่าช่องโหว่ Citrix Bleed CVE-2023-4966 กำลังทำให้บางกลุ่มต้องตื่นตระหนกในบริบทบาง และเสนอข้อแนะนำ และโซลูชันและการป้องกันของเราเองเพื่อป้องกันโครงสร้างพื้นฐานระยะไกลของคุณจากอันตรายเช่นนี้ ข่าวไม่ได้เลวร้ายทั้งหมด

Citrix NetScaler ADC และ NetScaler Gateway อยู่ในเสี่ยง

Citrix Bleed, ข้อบกพร่องที่สำคัญในการเปิดเผยข้อมูลที่มีผลต่อ NetScaler ADC และ NetScaler Gateway ได้รับ "การโจมตีมวล" โดยมีเซิร์ฟเวอร์ Citrix ที่อยู่ในสภาพที่อ่อนแออยู่บนอินเทอร์เน็ตแม้ว่ามีการเผยแพร่แพทช์ในวันที่ 10 ตุลาคม ตั้งแต่นั้นเป็นต้นมา คลื่นข่าวประจำที่เกิดขึ้นได้เตือนให้เรารู้ว่าช่องโหว่ยังอนุญาตให้ผู้โจมตีเข้าถึงหน่วยความจำของอุปกรณ์ที่เผยแพร่ ที่นั่น การโจมตีสามารถสร้างโทเคนเซสชันสำหรับการเข้าถึงโดยไม่ได้รับอนุญาต แม้ว่าแพทช์จะถูกใช้งานแล้ว

กลุ่มแฮ็กเกอร์ Ransomware ได้ใช้ช่องโหว่นี้เพื่อประโยชน์ส่วนตัว และ Mandiant กำลังติดตามกลุ่มหลายกลุ่มที่เน้นเป้าหมายในกลุ่มอุตสาหกรรมต่าง ๆ ทั่วโลก รัฐบาลสหรัฐฯ ได้จำแนกว่าเป็นช่องโหว่ที่ถูกใช้โดยไม่ทราบ Mandiant ซึ่งเป็นของ Google ย้ำความจำเป็นในการยุติเซสชันทั้งหมดเพื่อลดความเสี่ยงอย่างมีประสิทธิภาพ บั๊กนี้ถูกใช้โดยมีการโจมตีตั้งแต่ปลายเดือนสิงหาคม โดยมีผู้อาชญากรใช้เพื่อการสอดแนมไซเบอร์ นักเรียกร้องทางการเงินได้คาดหวังว่าจะใช้ช่องโหว่นี้ ดังนั้น สำคัญมากที่จะหยุด Citrix Bleed ก่อนที่จะเกินกำหนด.

CVE-2023-4966 ช่องโหว่ยังคงมีอยู่ ถึงแม้จะได้ทำการแก้ไขแล้ว

ดูเหมือนว่า ณ วันที่ 30 ตุลาคม มีเซิร์ฟเวอร์ที่มีช่องโหว่มากกว่า 5,000 เซิร์ฟเวอร์ที่ถูกเปิดเผยต่อสาธารณะบนอินเทอร์เน็ต GreyNoise พบว่ามี 137 ที่อยู่ IP ที่พยายามใช้ช่องโหว่ Citrix ในอาทิตย์ที่ผ่านมา แม้ว่า Citrix จะเปิดเผยและออกแพทช์ (CVE-2023-4966) ในวันที่ 10 ตุลาคม สถานการณ์ก็เร่งรัดขึ้นอย่างรวดเร็ว แม้จะได้นำแพทช์มาใช้แล้ว โทเค็นเซสชันยังคงอยู่ ทำให้ระบบยังคงอยู่ในสภาวะที่เสี่ยงต่อการถูกใช้ช่องโหว่ ความรุนแรงของสถานการณ์ถูกเน้นด้วยความจริงว่า ตามที่กลัวไว้ กลุ่มแรงกดของไร้มิติได้ใช้โอกาสนี้ในการใช้ช่องโหว่นี้ แจกจ่ายสคริปต์ python เพื่ออัตโนมัติการโจมตี

เครื่องมือและขั้นตอนที่คิดอย่างชาญฉลาดสำหรับการโจมตี

การโจมตีเหล่านี้ได้แสดงลักษณะที่หลากหลายขึ้นเมื่อพวกเขาก้าวไปข้างหน้านอกเหนือจากการใช้ช่องโหว่เบื้องต้น ผู้โจมตีดูเหมือนจะมีส่วนร่วมในการสำรวจเครือข่ายตั้งแต่แรก อย่างไรก็ตาม วัตถุประสงค์ได้ขยายออกไปอย่างชัดเจนถึงการโจมตีการขโมยข้อมูลของบัญชีที่สำคัญและแสดงการเคลื่อนที่ข้ามขอบผ่านเครือข่ายที่ถูกครอบครอง ในช่วงนี้พวกเขาใช้ชุดเครื่องมือที่หลากหลาย แสดงให้เห็นถึงการใช้วิธีการที่เป็นการจัดการอย่างดีในกิจกรรมที่เป็นอันตรายของพวกเขา

ผู้อยู่เบื้องหลังแคมเปญเหล่านี้ได้แสดงระดับความชำนาญสูงในวิธีการทำงานของพวกเขา โดยใช้เครื่องมือและเทคนิคหลากหลายเพื่อบรรลุวัตถุประสงค์ของพวกเขา ผู้โจมตีใช้ HTTP GET requests ที่ถูกสร้างเฉพาะเพื่อบังคับอุปกรณ์ Citrix เพื่อเปิดเผยเนื้อหาของหน่วยความจำของระบบ รวมถึงคุกกี้เซสชัน Netscaler AAA ที่ถูกต้อง ซึ่งทำให้พวกเขาสามารถหลีกเลี่ยงการตรวจสอบตัวตนแบบหลายขั้นตอน ทำให้การเข้าถึงของพวกเขากลายเป็นอันตรายมากยิ่งขึ้น

ค้นหาการสอดคล้องของเครื่องมือที่เฉพาะเจาะจง

หนึ่งในเครื่องมือที่โดดเด่นในอาวุธของพวกเขาคือ FREEFIRE, ซึ่งเป็น backdoor .NET รุ่นเบาใหม่ๆ ที่ใช้ Slack สำหรับควบคุมและควบคุม นี่คือเครื่องมือที่ไม่ธรรมดาเดียวในอาวุธ การโจมตีใช้กระบวนการมาตรฐานและธรรมชาติหลายอย่าง พร้อมกับการเพิ่มเครื่องมือการเข้าถึงและการจัดการระยะไกลปกติอย่าง Atera, AnyDesk และ SplashTop นี่เป็นการบ่งชี้ถึงว่ามือโจมตีทำงานหนักเพื่อการสำเร็จในการหลบหลีกการตรวจจับ ในความเป็นจริง ในขณะที่แต่ละเครื่องมือเหล่านี้มักพบในสภาพแวดล้อมขององค์กรที่ถูกต้อง การใช้งานร่วมกันของพวกเขาโดยผู้กระทำที่เป็นอุปกรณ์ความเสี่ยงเป็นสัญญาณฝ่ายแดงที่สำคัญ นอกจากนี้ หากซอฟต์แวร์และทีมรักษาความปลอดภัยของคุณมองออกหาการร่วมกันนี้ที่บ่งชี้ถึงการบกพร่อง มันจะผ่านไปโดยไม่รู้ตั้งแต่เดิม

นี่คือรายการเครื่องมือที่ฮากเกอร์ใช้เพื่อดึงข้อมูลเซสชันและเคลื่อนที่ในเครือข่ายแนวนอน (รวมถึงวัตถุประสงค์ตามที่ Bleeping Computer อธิบาย):

  • net.exe – การสำรวจ Active Directory (AD);
  • netscan.exe - การเรียกข้อมูลในเครือข่ายภายใน;
  • 7-zip สร้างไฟล์เข้ารหัสเซ็กเม้นต์สำหรับการบีบอัดข้อมูลการสำรวจ
  • certutil - รหัสลับ (base64) และถอดรหัสข้อมูลแฟ้ม และติดตั้งประตูหลังบ้าน;
  • e.exe และ d.dll โหลดลงในหน่วยความจำของกระบวนการ LSASS และสร้างไฟล์ระบายความจำ;
  • sh3.exe รันคำสั่ง Mimikatz LSADUMP เพื่อสกัดข้อมูลของข้อมูลประจำตัว;
  • FREEFIRE – โปรแกรมช่องหลัง .NET ที่ใหม่และเบาน้ำหนักโดยใช้ Slack สำหรับควบคุมและควบคุม;
  • Atera - การตรวจสอบและการจัดการระยะไกล;
  • AnyDesk – การเข้าถึงเดสก์ท็อประยะไกล;
  • SplashTop – การเข้าถึงหน้าจอระยะไกล.

เชื่อว่าคุณจะเห็นด้วยว่าไม่มีอะไรผิดปกติมากนอกจากพบว่าทั้งหมดถูกผสมกัน ยกเว้นอย่างเดียวคือ: FREEFIRE.

FREEFIRE ที่ใช้โดยผู้ใช้ที่เจ้าของ Citrix Bleed

ควรทราบว่า ในขณะที่บางเครื่องมือเหล่านี้พบได้บ่อยในสภาพแวดล้อมขององค์กร การใช้งานร่วมกันของพวกเครื่องมือเหล่านี้ในแคมเปญเหล่านี้เป็นตัวบ่งชี้ที่แข็งแรงว่ามีการละเมิดความปลอดภัย Mandiant ได้ปล่อยกฎ Yara ที่ใช้เพื่อตรวจจับการมี FREEFIRE บนอุปกรณ์ เครื่องมือนี้มีคุณค่าอย่างมากในการช่วยองค์กรในการระบุระบบที่ถูกบุกรุกล่วงหน้าและดำเนินการที่รวดเร็วเพื่อลดความเสี่ยง

ด้านล่างคุณสามารถพบกฎ Yara สำหรับการตรวจจับ FREEFIRE อย่างไรก็ตามหากคุณต้องการที่จะตรวจสอบกฎ Yara นั้นที่นั่นหรืออ่านเทคนิค MITRE ATT&CK คุณสามารถปิดบทความ Mandiant ที่นั่นคุณยังสามารถพบลิงก์ไปยังคู่มือ "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" ของ Mandiant ในรูปแบบ PDF

กฎของ Mandiant เพื่อตามล่า FREEFIRE ในบริบทของ Citrix Bleed

และกฎเป็นข้อความ

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

คำเตือนบางอย่างสำหรับการป้องกันช่องโหว่ของ Citrix NetScaler CVE-2023-4966

การรวมข้อมูลพบว่าจำเป็นต้องมีการใช้วิธีการตอบสนองเหตุการณ์อย่างเบ็ดเสร็จ อย่างง่ายๆการใช้การปรับปรุงความปลอดภัยที่มีอยู่ไม่เพียงพอในการแก้ไขช่องโหว่ที่มีอยู่ ความจริงที่เป็นสิ่งจำเป็นที่จะต้องปิดเซสชันทั้งหมดที่เปิดอยู่เพื่อป้องกันไม่ให้เกิดการใช้ช่องโหว่ได้ การตอบสนองที่สมบูรณ์จำเป็นต้องมีเพื่อควบคุมช่องโหว่ ประเมินขอบเขตของการบุกรุก และเมื่อจำเป็นต้องเริ่มต้นขั้นตอนที่จำเป็นสำหรับการกู้คืนระบบได้

คู่มือการแก้ไขของ Mandiant และการเผยแพร่อื่น ๆ ให้ขั้นตอนที่สำคัญสำหรับองค์กรที่ต้องนำทางในสถานการณ์หลังการโจมตีที่ท้าทายเหล่านี้ องค์กรรัฐบาลทั่วโลกกำลังส่งต่อคำแนะนำเหล่านี้ การเตือนภัยและกระบวนการป้องกันเพื่อหยุดการโจมตีเหล่านี้

TSplus Advanced Security - การป้องกันที่ดีที่สุดต่อการโจมตี Citrix Bleed และการโจมตีอื่น ๆ

เรามั่นใจในการป้องกันไซเบอร์ 360° ของเรา TSplus Advanced Security TSplus Advanced Security คือคำตอบที่แข็งแกร่งและครอบคลุมทุกปัญหาที่เกี่ยวข้องกับการรักษาความปลอดภัยของธุรกิจและโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศของคุณจากอันตรายนี้และอันอื่นๆ ในความเชื่อมั่น ในความปลอดภัยของ Citrix Bleed exploit ชี้ให้เห็นถึงความไม่เพียงพอของความปลอดภัยของระบบสารสนเทศในบริบทและโครงสร้างพื้นฐานที่หลายๆ ราย ดังนั้น ธุรกิจต้องให้ความสำคัญกับการใช้วิธีการที่ครอบคลุมเพื่อป้องกันโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศและข้อมูลที่มีความลับของตน TSplus Advanced Security ยืนยันถึงความสำคัญของปัญหาเหล่านี้ที่เร่งด่วนนี้

เครื่องมือรักษาความปลอดภัยอย่างครอบคลุมนี้มีวิธีการที่หลากหลายเพื่อให้มั่นใจในการป้องกันระบบเทคโนโลยีสารสนเทศ ป้องกันการโจมตีจากภัยคุกคามต่าง ๆ เช่น zero-day exploits, มัลแวร์ และการเข้าถึงโดยไม่ได้รับอนุญาต


TSplus Advanced Security เป็นส่วนหนึ่งของชุดซอฟต์แวร์ระยะไกลที่ครอบคลุมทั้งหมด

หนึ่งในประโยชน์สำคัญของ TSplus Advanced Security ความสำคัญของมันอยู่ที่ความสามารถในการเสริมความแข็งแกร่งของโครงสร้าง IT ขององค์กรของคุณต่อช่องโหว่เช่น CVE-2023-4966 ซึ่งมีผลกระทบไกลถึง มันช่วยให้ธุรกิจสามารถป้องกันระบบของตนได้โดยป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตและลดอันตรายทางความมั่นคงของระบบได้อย่างมีประสิทธิภาพ

นอกจากนี้ ชุดซอฟต์แวร์ TSplus ที่กว้างขวางมีคุณสมบัติที่มีค่าที่เสริมเติม TSplus Advanced Security อย่างเช่นจุดสำคัญที่สี่ เรามีที่ระแนแบ่งเป็นสี่ส่วนหลักของเครือข่ายระยะไกล: ความปลอดภัย, การเข้าถึง, การตรวจสอบและการสนับสนุน

TSplus Remote Access สำหรับการล็อกเซสชันและการจัดการอย่างละเอียด

ตัวแรก, TSplus Remote Access การประกอบด้วยพารามาวัลที่เพิ่มความปลอดภัยโดยให้แน่ใจว่าเซสชันของผู้ใช้ถูกสิ้นสุดอย่างถูกต้อง สำคัญอย่างยิ่งที่จะลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาต คุณลักษณะนี้เป็นสิ่งสำคัญในการแก้ไขปัญหาที่เกี่ยวข้องเช่น ปัญหาที่เกิดจากการใช้ช่องโหว่ของ Citrix Bleed incident โดยการแน่ใจว่าไม่มีโทเคนเซสชันที่ยังคงอยู่ แม้หลังจากการแพทช์ มันจะให้ชั้นความป้องกันเพิ่มเติม

TSplus การตรวจสอบเซิร์ฟเวอร์สำหรับการตรวจสอบเซิร์ฟเวอร์และการดูแลเซสชันผู้ใช้

เพิ่มเติม TSplus การตรวจสอบเซิร์ฟเวอร์ เป็นเครื่องมือที่ไม่สามารถหายไปสำหรับองค์กร ในความเป็นจริง มันช่วยให้คุณสามารถตรวจสอบสุขภาพของเซิร์ฟเวอร์และเว็บไซต์ของพวกเขาในเวลาจริง ในบริบทของช่องโหว่ Citrix Bleed หรือช่องโหว่ที่คล้ายกัน Server Monitoring ช่วยให้การระบุปัญหาได้อย่างรวดเร็ว จึงทำให้ง่ายต่อการเริ่มการแก้ไขปัญหาและการแก้ไขปัญหาที่เร็วด่วน การเข้าถึงอย่างรุนแรงนี้เป็นสิ่งจำเป็นสำหรับการรักษาความสมบูรณ์ของระบบเทคโนโลยีสารสนเทศและป้องกันการละเมิดข้อมูล

TSplus ระบบสนับสนุนระยะไกลสำหรับการควบคุม, การแก้ไข และการฝึกอบรม

สุดท้าย TSplus Remote Support เล่นบทบาทสำคัญในการแก้ไขปัญหาด้านความปลอดภัยของระบบสารสนเทศ มันช่วยให้การช่วยเหลือจากระยะไกลและการแทรกแซงโดยไม่ต้องมีการเข้าถึงอย่างไม่ได้รับอนุญาตสำหรับปัญหาด้านเทคโนโลยีสารสนเทศใดๆ ทำให้การแก้ไขได้รวดเร็วและลดความเสี่ยงที่เกี่ยวข้องกับช่องโหว่ที่ยังคงอยู่ ไม่ว่าจะเป็นการแก้ปัญหาช่องโหว่ของ Citrix หรือการแก้ไขปัญหาด้านเทคโนโลยีสารสนเทศใดๆ TSplus Remote Support ช่วยให้องค์กรสามารถตอบสนอย่างรวดเร็ว อย่างมีประสิทธิภาพและปลอดภัยจากทุกที่

เป็นสรุปของช่องโหว่ Citrix Bleed Vulnerability CVE-2023-4966 ที่ยังคงอยู่แม้ว่ามีการแก้ไขแล้ว

สรุปมาแล้ว TSplus Advanced Security เป็นเครื่องมือที่ยอดเยี่ยมในการต่อต้านช่องโหว่เช่นนี้ครับ และในการร่วมกับชุดซอฟต์แวร์ทั้งหมด มันเป็นเส้นป้องกันที่แข็งแรงต่อการลักลอบของภัยคุกคามด้านความปลอดภัยทุกประเภท รวมถึงการให้บริหารการจัดการอย่างละเอียด การตรวจสอบแบบเรียลไทม์ และความสามารถในการตอบสนองอย่างรวดเร็ว สิ่งที่คุณสามารถขอเพิ่มเติมเพื่อป้องกันโครงสร้าง IT ของคุณและรักษาข้อมูลบริษัทที่ละเอียดอ่อนได้อีกบ้าง

ไม่ว่าคุณต้องการป้องกันโครงสร้าง IT ของ บริษัท ของคุณ จากการโจมตีไซเบอร์ หรือต้องการแทนที่ Citrix ทั้งหมด, ติดต่อเราวันนี้ทางโทรศัพท์ อีเมล หรือผ่านเว็บไซต์ของเรา และรับใบเสนอราคาหรือทดลองใช้ได้ในไม่กี่วินาทีหรือไม่กี่คลิก เท่านั้นค่ะ

แบ่งปัน:

Facebook ทวิตเตอร์ LinkedIn

ทีมของคุณ TSplus

บทความที่เกี่ยวข้อง

TSplus Remote Desktop Access - Advanced Security Software

Gateway Security

บทความนี้พูดถึงแนวคิดเกี่ยวกับความปลอดภัยของเกตเวย์ ความสำคัญของมัน และวิธีการที่สามารถนำไปใช้ได้อย่างมีประสิทธิภาพ

อ่านบทความ →
TSplus Remote Desktop Access - Advanced Security Software

วิธีการป้องกัน RDP จาก Ransomwares

บทความนี้เจาะลึกถึงแง่มุมทางเทคนิคเกี่ยวกับวิธีการรักษาความปลอดภัย RDP จากแรนซัมแวร์ โดยมั่นใจว่าผู้เชี่ยวชาญด้าน IT สามารถปกป้องเครือข่ายของตนจากภัยคุกคามเหล่านี้ได้

อ่านบทความ →
back to top of the page icon