)
)
)
)
Paano I-Secure ang RDP Port
Nagbibigay ang artikulong ito ng malalim na pagsusuri sa pag-secure ng iyong mga pinto ng RDP, na inaayos para sa mga propesyonal sa IT na may kaalaman sa teknolohiya.
)
)
Ang mga balita sa cyber ay binubuo ng mga kuwento na mas nakakatakot at nakababahala kaysa sa naunang mga ito, isang angkop na tema para sa katapusan ng Oktubre. Ang Citrix Bleed ay hindi isang pagkakataon. Pagkatapos ng isang naunang kahinaan at paglalagay ng patch noong simula ng tag-init, ang Citrix ay naging headline sa karamihan ng taglagas na ito sa mga balita ng pagpasok sa malalaking korporasyon at pamahalaang mga network. Narito kung paano ang Citrix Bleed vulnerability CVE-2023-4966 ay nagdudulot ng mga gabi na walang tulog sa ilang mga larangan, kasunod ng mga rekomendasyon at ang aming sariling mga solusyon at proteksyon upang bantayan ang iyong remote infrastructure laban sa gayong mga panganib. Hindi lahat ng balita ay masama.
Citrix NetScaler ADC at NetScaler Gateway sa Ilalim ng Apoy
Mayroong Citrix Bleed, isang kritikal na bug sa paglalabas ng impormasyon na nakakaapekto sa NetScaler ADC at NetScaler Gateway, ay nasa ilalim ng "mass exploitation," na may libu-libong mga vulnerable na Citrix servers na patuloy na naka-online kahit na nailabas na ang isang patch noong Oktubre 10. Mula noon, ang mga regular na alon ng balita ay nagpapaalala sa atin na ang kahinaan ay patuloy na nagbibigay-daan sa mga manlalabag na ma-access ang memory ng mga exposed na mga aparato. Doon, ang mga atake ay nangunguha ng session tokens para sa hindi awtorisadong access, kahit na isinagawa na ang patch.
Ang mga grupo ng Ransomware ay patuloy na nang-aabuso sa kahinaang ito at sinusubaybayan ng Mandiant ang maraming grupo na tumatarget sa iba't ibang sektor sa buong mundo. Ini-classify ng pamahalaan ng US ito bilang isang hindi kilalang inaabuso na kahinaan. Binibigyang-diin ng Google-owned Mandiant ang pangangailangan na itigil ang lahat ng aktibong sesyon para sa epektibong mitigasyon. Ang bug ay nang-aabuso na mula pa noong huling bahagi ng Agosto, kung saan ginagamit ito ng mga kriminal para sa cyber espionage. Inaasahan na gagamitin ng mga financial threat actors, kaya't mas mahalaga na itigil ang Citrix Bleed bago pa ito maging huli.
CVE-2023-4966 Vulnerability Patuloy sa Kabila ng Pag-patch
Lumilitaw na, sa petsa ng Oktubre 30, mayroon nang mahigit sa 5,000 mga server na may mga kakulangan na nai-expose sa pampublikong internet. Nakita ng GreyNoise ang 137 na indibidwal na mga IP address na sumusubok na gamitin ang kakulangan sa Citrix sa nakaraang linggo. Kahit na agad na inilabas ng Citrix at inilabas ang isang patch (CVE-2023-4966) noong Oktubre 10, ang sitwasyon ay mabilis na lumala. Kahit pagkatapos mag-apply ng patch, nananatili ang session tokens, na nag-iiwan ng mga sistema na may kakulangan sa panganib ng pagsasamantala. Binibigyang-diin ng kalubhaan ng sitwasyon ang katotohanan na, tulad ng kinatatakutan, ang mga ransomware crew ay sumakay sa pagkakataon na gamitin ang kakulangan na ito, nagpapamahagi ng mga python script upang i-automate ang chain ng atake.
Stratehikong pinag-isipang mga kasangkapan at hakbang para sa mga atake
Ang mga atake na ito ay nagpakita ng isang may maraming aspeto na kalikasan habang sila ay umusad sa labas ng simulaing pagsasamantala. Ang mga manlalaban ay tila una ay nakikilahok sa pagsusuri ng network. Gayunpaman, ang mga layunin ay malinaw na pinalawak sa pagnanakaw ng mahahalagang account credentials at ipinakita ang lateral movement sa pamamagitan ng mga kompromisadong network. Sa yugtong ito, sila ay gumamit ng iba't ibang set ng mga tool, nagpapakita ng isang maayos na orkestradong paraan sa kanilang masasamang gawain.
Ang mga nasa likod ng mga kampanyang ito ay nagpakita ng mataas na antas ng kasanayan sa kanilang pamamaraan, gumagamit ng iba't ibang mga tool at teknik upang makamit ang kanilang mga layunin. Ginamit ng mga manlalaban ang mga espesyal na ginawang HTTP GET requests upang piliting ipakita ang nilalaman ng memory system ng Citrix appliance, kabilang ang mga wastong Netscaler AAA session cookies. Ito ay nagpapahintulot sa kanila na makaiwas sa multifactor authentication, ginagawang mas masama ang kanilang pananalakay.
Mag-ingat sa partikular na kombinasyon ng mga tool.
Isang kahanga-hangang tool sa kanilang arsenal ay ang FREEFIRE, isang bagong lightweight .NET backdoor na gumagamit ng Slack para sa command at control. Ito ang solong kakaibang tool sa arsenal. Ang mga atake ay gumamit ng maraming standard at native na mga proseso, kasama ang karagdagang remote desktop access at management tools tulad ng Atera, AnyDesk at SplashTop. Ipinapakita nito kung gaano kahirap ang mga hacker na manatiling hindi nakikita para sa pagtukoy. Sa katunayan, habang ang mga tool na ito ay karaniwang matatagpuan sa lehitimong enterprise environments, ang kanilang kombinasyon ng pag-deploy lamang ng mga threat actors ang nagiging malaking red flag. Maliban na lang kung ang iyong security software at team ay nagbabantay para sa kombinasyong ito na nagpapahiwatig ng isang kompromiso, ito ay maaaring hindi mapansin.
Narito ang listahan ng mga tool na ginagamit ng mga hacker upang kunin ang impormasyon ng sesyon at kumilos ng pahalang sa mga network (kasama ang kanilang layunin ayon sa paglalarawan ng Bleeping Computer):
- net.exe - Active Directory (AD) pagsusuri;
- netscan.exe - internal network enumeration; -> - internal network enumeration;
- 7-zip - lumikha ng isang encrypted segmented archive para sa pag-compress ng data ng reconnaissance;
- certutil - i-encode (base64) at i-decode ang mga data file at mag-deploy ng backdoors;
- e.exe at d.dll - i-load sa memorya ng proseso ng LSASS at lumikha ng mga file ng memory dump;
- sh3.exe - tumakbo ng Mimikatz LSADUMP command para sa pagkuha ng mga kredensyal;
- LIBRENG APY – bagong lightweight .NET backdoor na gumagamit ng Slack para sa command at control;
- Atera - Paggunita at pamamahala sa malayong distansya;
- AnyDesk – Paggamit ng layuning desktop;
- SplashTop – Remote desktop.
Tulad ng marahil ay sumasang-ayon ka, wala masyadong hindi kanais-nais maliban na lang kung makikita mo ang lahat na pinagsasama-sama. Maliban sa isa, iyon ay: LIBRENG APOY.
FREEFIRE sa Partikular Ginagamit ng mga Hackers sa Citrix Bleed
Nakakabahala na habang ang ilan sa mga kasangkapang ito ay karaniwang matatagpuan sa mga enterprise environment, ang kanilang pinagsamang paggamit sa mga kampanyang ito ay isang malakas na tanda ng isang breach. Pati na rin, inilabas ng Mandiant ang isang Yara rule na ginagamit upang makilala ang pagkakaroon ng FREEFIRE sa isang aparato. Ang kasangkapang ito ay lalong mahalaga sa pagtulong sa mga organisasyon na maagap na makilala ang mga na-kompromisong sistema at kumilos agad upang bawasan ang panganib.
Sa ibaba, maaari mong mahanap ang Yara rule para sa pagtukoy ng FREEFIRE. Gayunpaman, kung nais mong patunayan ang Yara rule doon o basahin ang mga pamamaraan ng MITRE ATT&CK, isara ang artikulo ng Mandiant. Doon, maaari mo ring mahanap ang kanilang link sa "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" gabay sa PDF.
Mga Patakaran ng Yara ng Mandiant upang Hanapin ang FREEFIRE sa Konteksto ng Citrix Bleed
)
At ang patakaran bilang teksto:
Yara Rule: import "pe" rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "Ito ay isang hunting rule upang makadiskubre ng mga sample ng FREEFIRE gamit ang mga OP code sequences sa getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and lahat ng mga ito
Mga Paalala para Maiwasan ang Citrix NetScaler Vulnerability CVE-2023-4966
Ang pagtatagpo ng mga natuklasan na ito ay nagbibigay-diin sa matinding pangangailangan para sa mga organisasyon na tanggapin ang isang komprehensibong pamamaraan sa pagtugon sa insidente. Ang simpleng pag-aaplay ng mga available security updates ay hindi sapat sa pag-address ng mga umiiral na paglabag. Ang katotohanan na mahalaga na isara ang lahat ng aktibong sesyon upang hindi ito maging mapanirang-puri ay hindi sapat na maipaliwanag. Ang isang ganap na pamamaraan sa pagtugon ay mahalaga upang pigilan ang paglabag, suriin ang lawak ng kompromiso, at kung kinakailangan, simulan ang mga hakbang na kinakailangan para sa pagbabalik ng sistema.
Ang gabay sa pag-aayos ng Mandiant at iba pang mga publikasyon ay nag-aalok ng mahahalagang praktikal na hakbang para sa mga organisasyon na naglalakbay sa mga mapanganib na post-exploitation na senaryo. Ang mga pamahalaang organisasyon sa buong mundo ay nagpapasa ng mga rekomendasyon, babala, at mga proseso ng pangangalaga upang pigilan ang mga atake na ito.
TSplus Advanced Security - Ang Pinakamahusay na Proteksyon Laban sa Citrix Bleed at iba pang mga Atake
Kami ay kumbinsido sa aming 360° proteksyon laban sa cyber. TSplus Advanced Security Ang TSplus Advanced Security ay walang kapantay sa pagprotekta sa iyong negosyo at imprastruktura ng IT laban sa panganib na ito at iba pa. Sa katunayan, ang mga kahinaan tulad ng Citrix Bleed exploit ay nagpapakita ng kakulangan ng cybersecurity sa maraming konteksto at imprastruktura. Kaya't mahalaga para sa mga negosyo na bigyang prayoridad ang kumpletong mga solusyon upang mapanatili ang kanilang imprastruktura ng IT at sensitibong data. Ang TSplus Advanced Security ay naglilingkod bilang isang matibay at komprehensibong sagot sa mga pangunahing alalahanin na ito.
Ang komprehensibong tool sa seguridad na ito ay nag-aalok ng isang maramihang paraan upang tiyakin ang proteksyon ng mga sistema ng IT, nagbabantay laban sa iba't ibang mga banta, kabilang ang zero-day exploits, malware at hindi awtorisadong access.
TSplus Advanced Security bilang Bahagi ng Buong Remote Software Suite
Isa sa mga pangunahing benepisyo ng TSplus Advanced Security Matatagpuan sa kakayahan nito ang kakayahan na palakasin ang imprastruktura ng IT ng inyong organisasyon laban sa mga kahinaan tulad ng CVE-2023-4966, na may malawakang epekto. Ito ay nagbibigay kakayahan sa mga negosyo na protektahan ang kanilang mga sistema sa pamamagitan ng pagpigil sa hindi awtorisadong access at epektibong pagbabawas ng mga banta sa cybersecurity.
Bukod dito, ang mas malawak na TSplus software suite ay nag-aalok ng mahahalagang mga feature na nagpapalakas sa TSplus Advanced Security. Katulad ng apat na pangunahing punto, mayroon kaming apat na haligi sa isang remote network: seguridad, access, monitoring at support.
TSplus Remote Access para sa Session Logoff at Granular Management
Una, TSplus Remote Access Kasama rito ang mga parameter ng session logoff na nagpapabuti sa seguridad sa pamamagitan ng pagtitiyak na ang mga sesyon ng user ay wastong natatapos. Mahalaga ito sa pagbawas ng panganib ng hindi awtorisadong access. Ang feature na ito ay mahalaga sa pag-address ng mga kaugnay na isyu tulad ng mga dulot ng mga pagsasamantala ng Citrix Bleed incident. Sa pamamagitan ng pagtitiyak na walang session tokens na nananatili, kahit pagkatapos ng pag-patch, ito ay nagbibigay ng karagdagang layer ng proteksyon.
TSplus Server Monitoring para sa Pagsusuri ng Server at User-session Surveillance
Sa karagdagang, TSplus Server Monitoring Ang isang mahalagang tool para sa mga organisasyon. Talaga nga, ito ay nagbibigay-daan sa iyo upang bantayan ang kalusugan ng kanilang mga server at mga website sa real-time. Sa konteksto ng Citrix Bleed o kahalintulad na mga vulnerabilities, ang Server Monitoring ay nagbibigay-daan sa mabilisang pagkilala ng mga isyu, na nagpapadali sa pagsisimula ng maagap na pag-troubleshoot at remediation. Ang proaktibong pamamaraan na ito ay mahalaga para sa pagpapanatili ng integridad ng mga IT system at pagsasawalang-breach.
TSplus Remote Support para sa Malayong Kontrol, Pag-aayos at Pagsasanay
Sa huli, TSplus Remote Support Naglalaro ng mahalagang papel sa pag-address ng mga hamon sa cybersecurity. Nagbibigay ito ng tulong sa layong remote at hindi nakabantayang pakikialam para sa anumang isyu sa IT, na nagtitiyak ng mabilis na paglutas at pagsuspinde sa mga panganib na kaugnay ng patuloy na mga kahinaan. Anuman ang problema sa Citrix vulnerability o anumang iba pang alalahanin sa IT, pinapalakas ng TSplus Remote Support ang mga organisasyon na tumugon ng mabilis, epektibo at ligtas, mula saanman.
Bilang isang konklusyon sa Citrix Bleed Vulnerability CVE-2023-4966 na patuloy na nananatili kahit na na-patch.
Sa buod, ang TSplus Advanced Security ay isang mahusay na tool laban sa mga ganitong mga kahinaan. At, sa kombinasyon ng natitirang bahagi ng software suite, ito ay bumubuo ng isang matibay na linya ng depensa laban sa mga banta sa cybersecurity ng lahat ng uri pati na rin ang nag-aalok ng granular na pamamahala, real-time monitoring at mabilis na kakayahan sa pagtugon. Ano pa ang maaari mong hilingin upang mapanatili ang seguridad ng iyong mga imprastruktura sa IT at protektahan ang sensitibong data ng kumpanya.
Kung nais mong protektahan ang IT infrastructure ng iyong kumpanya laban sa mga cyber-atake o nais mong palitan ang Citrix sa kabuuan, makipag-ugnayan ngayon sa pamamagitan ng telepono, email o sa pamamagitan ng aming website at makakuha ng iyong quote o subok sa loob ng ilang segundo o ilang clicks.
)
)
)
