We've detected you might be speaking a different language. Do you want to change to:

İçindekiler

Cyber haberleri, her biri bir öncekinden daha korkutucu ve endişe verici olan hikayelerden oluşur, Ekim ayının sonuna uygun bir tema. Citrix Bleed istisna değil. Daha önceki bir zayıflık ve yazılım güncelleme işleminden sonra, Citrix bu sonbaharın çoğunda büyük kurumsal ve devlet ağlarına girişlerle manşetlerde yer almaktadır. İşte Citrix Bleed zafiyeti CVE-2023-4966'ın bazı alanlarda uykusuz geceler yaşanmasına neden olduğu, ardından öneriler ve kendi çözüm ve koruma çözümlerimiz ve uzaktan altyapınızı bu tür tehlikelere karşı korumak için haberler. Haberlerin hepsi kötü değil.

Citrix NetScaler ADC ve NetScaler Gateway Ateş Altında

Citrix Bleed, NetScaler ADC ve NetScaler Gateway'i etkileyen kritik bir bilgi ifşa açığı hatasıdır ve 10 Ekim'de yamasının yayınlanmasına rağmen hala binlerce savunmasız Citrix sunucusu çevrimiçi durumda bulunmaktadır. O zamandan beri, düzenli haber dalgaları bize hatanın hala saldırganların açığa çıkarılmış cihazların belleğine erişmelerine izin verdiğini hatırlatmıştır. Orada, saldırılar yetkisiz erişim için oturum belirteçleri çıkarır, hatta yama uygulandıktan sonra bile.

Ransomware çeteleri bu zafiyeti sömürüyor ve Mandiant küresel olarak çeşitli sektörlere hedef alan birden fazla grup izliyor. ABD hükümeti bunu bilinmeyen bir sömürülen zafiyet olarak sınıflandırdı. Google'a ait Mandiant etkili önlem için tüm aktif oturumların sonlandırılması gerektiğini vurguluyor. Bu hata Ağustos ayının sonlarından beri sömürülüyor, suçluları siber casusluk için kullanıyor. Finansal tehdit aktörlerinin sömürmesi bekleniyor, bu yüzden Citrix Bleed'i çok geç olmadan durdurmak o kadar da önemli.

CVE-2023-4966 Zafiyet Yamasına Rağmen Devam Ediyor

Ekim 30 itibariyle, 5.000'den fazla savunmasız sunucunun halka açık internet üzerinde bırakıldığı görünüyor. GreyNoise, geçen hafta içinde bu Citrix açığından yararlanmaya çalışan 137 farklı IP adresini gözlemledi. Citrix'in hızlı açıklamasına ve 10 Ekim'de yamasını (CVE-2023-4966) yayınlamasına rağmen, durum hızla kötüleşti. Yama uygulandıktan sonra bile oturum belirteçleri devam etti ve sistemlerin kötüye kullanıma açık kalmasına neden oldu. Durumun ciddiyeti, korkulduğu gibi, fidye yazılımı ekiplerinin bu açığı kötüye kullanma fırsatını değerlendirmek için harekete geçtiğini göstermektedir, saldırı zincirini otomatikleştirmek için python betikleri dağıtıyorlar.

Stratejik Düşünülmüş Araçlar ve Saldırılar için Adımlar

Bu saldırılar, başlangıçta ağ keşfine odaklanan saldırganların, zamanla çeşitli yönleri olan bir doğa kazandığını gösterdi. Ancak, hedefler açıkça kritik hesap kimlik bilgilerinin çalınmasına ve tehlikeye atılan ağlar üzerinden yan hareketlere kadar uzandı. Bu aşamada, kötü niyetli faaliyetlerine iyi düzenlenmiş bir yaklaşım sergileyen çeşitli araçlar kullandılar.

Bu kampanyaların arkasındakiler, hedeflerine ulaşmak için geniş bir araç ve teknik yelpazesi kullanarak yaklaşımlarında yüksek bir seviyede sofistike olduklarını gösterdiler. Saldırganlar, Citrix cihazını sistemin bellek içeriğini ifşa etmek için özel olarak oluşturulmuş HTTP GET istekleri kullanarak, geçerli Netscaler AAA oturum çerezlerini içeren bir yol izlediler. Bu, onlara çok faktörlü kimlik doğrulamayı atlamalarına izin vererek, müdahalelerini daha da sinsice hale getirdi.

Özel Araç Kombinasyonuna Dikkat Edin

Bu araçlar arasında dikkat çeken biri FREEFIRE, Slack'i komut ve kontrol için kullanan hafif bir .NET arka kapıdır. Bu, arsenaldaki tek olağandışı araçtır. Saldırılar birçok standart ve yerel işlemi kullandı ve ayrıca sıradan uzaktan masaüstü erişim ve yönetim araçları Atera, AnyDesk ve SplashTop'u ekledi. Bu, hacker'ların algılama olasılığını azaltmak için ne kadar zor çalıştığını gösterir. Gerçekten de, bu araçlar genellikle yasal işletme ortamlarında bulunsa da, tehdit aktörleri tarafından bir arada kullanılmaları önemli bir uyarı işareti olarak hizmet eder. Güvenlik yazılımınız ve ekibiniz bu tehlikeye işaret eden bu kombinasyona dikkat etmiyorsa, bu durum gözden kaçabilir.

İşte hacker'ların oturum bilgilerini almak ve ağlar arasında yatay olarak hareket etmek için kullandıkları araçların listesi (Bleeping Computer tarafından açıklandığı şekliyle amaçlarıyla birlikte):

  • net.exe – Aktif Dizin (AD) keşfi;
  • netscan.exe - iç ağ numaralandırması;
  • 7-zip - sıkıştırma keşif verileri için şifrelenmiş bir bölümlenmiş arşiv oluşturun;
  • certutil - veri dosyalarını şifrele (base64) ve çözümle ve arka kapıları dağıt;
  • e.exe ve d.dll - LSASS işlem belleğine yükle ve bellek döküm dosyaları oluştur;
  • sh3.exe – kimlik bilgilerinin çıkarılması için Mimikatz LSADUMP komutunu çalıştırın;
  • Ücretsiz Ateş – hafif .NET arka kapı kullanarak Slack'i komut ve kontrol için kullanan yeni bir yazılım.
  • Atera Uzaktan izleme ve yönetim;
  • AnyDesk Uzak masaüstü;
  • SplashTop -Uzak masaüstü.

As you probably agree, nothing much untoward unless you find them all being combined. Except for one, that is: FREEFIRE. Siz muhtemelen katılıyorsunuz, hepsi bir araya geldiğinde pek bir şey olmaz. Tek istisna, o da: FREEFIRE.

Citrix Bleed'de Özellikle Hackerlar Tarafından Kullanılan FREEFIRE.

Bu araçların bazıları genellikle kurumsal ortamlarda bulunsa da, bu kampanyalarda bir arada kullanılmaları bir ihlal belirtisidir. Mandiant, bir cihazda FREEFIRE varlığını tespit etmek için kullanılan bir Yara kuralı bile yayınlamıştır. Bu araç, kuruluşların etkilenmiş sistemleri proaktif bir şekilde tanımlamalarına ve riski azaltmak için hızlı bir şekilde harekete geçmelerine yardımcı olmak için özellikle değerlidir.

Aşağıda, FREEFIRE'ı tespit etmek için Yara kuralını bulabilirsiniz. Yine de Yara kuralını doğrulamak isterseniz veya MITRE ATT&CK tekniklerini okumak isterseniz, bu, Mandiant makalesini kapatır. Orada, ayrıca PDF formatındaki Mandiant'ın "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" kılavuzuna olan bağlantılarını da bulabilirsiniz.

Mandiant'ın Citrix Bleed Bağlamında FREEFIRE'ı Aramak için Yara Kuralları

Ve kural metin olarak:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Citrix NetScaler Güvenlik Açığı CVE-2023-4966'ya Karşı Savunma İçin Bazı Hatırlatmalar

Bu bulguların bir araya gelmesi, kuruluşların kapsamlı bir olay yanıtı yaklaşımını benimsemeleri gerekliliğini vurgulamaktadır. Mevcut ihlallerle başa çıkmak için yalnızca mevcut güvenlik güncellemelerini uygulamak yetersizdir. Eğer etkin oturumların kapatılması gerekiyorsa, bunun söz konusu açık kalabilirliği yeterince vurgulamak mümkün değildir. Bir olayı sınırlamak, ihlalin boyutunu değerlendirmek ve gerektiğinde sistem onarımı için gerekli adımları başlatmak için tam teşekküllü bir yanıt zorunludur.

Mandiant'ın iyileştirme kılavuzu ve diğer yayınları, bu zorlu son-exploitasyon senaryolarında ilerleyen kuruluşlar için temel pratik adımlar sunmaktadır. Hükümet kuruluşları, bu saldırılara son vermek için bu önerileri, uyarıları ve koruma süreçlerini iletmektedir.

TSplus Gelişmiş Güvenlik - Citrix Bleed ve diğer Saldırılara Karşı En İyi Koruma

360° siber koruma çözümümüze olan inancımız tamdır, TSplus Gelişmiş Güvenlik , işletmenizi ve BT altyapınızı bu tehdit ve diğerleri karşısında korumak için eşsizdir. Gerçekten de, Citrix Bleed açığı gibi zayıflıklar, birçok bağlamda ve altyapıda siber güvenliğin yetersizliğine işaret etmektedir. Bu nedenle, işletmeler BT altyapılarını ve hassas verilerini korumak için kapsamlı çözümlere öncelik vermelidir. TSplus Advanced Security, bu acil endişelere karşı güçlü ve kapsamlı bir yanıt olarak durmaktadır.

Bu kapsamlı güvenlik aracı, IT sistemlerinin korunmasını sağlamak için çok yönlü bir yaklaşım sunar, sıfır gün saldırıları, kötü amaçlı yazılımlar ve izinsiz erişim gibi geniş bir tehdit yelpazesine karşı koruma sağlar.


TSplus Gelişmiş Güvenlik, Bütünsel Uzaktan Yazılım Paketinin Bir Parçası olarak.

Birinci ana faydalarından biri TSplus Gelişmiş Güvenlik Gücü, CVE-2023-4966 gibi geniş etkilere sahip zayıflıklara karşı kuruluşunuzun BT altyapısını güçlendirmesi yeteneğinde yatar. İşletmelere yetkisiz erişimi engelleyerek ve siber güvenlik tehditlerini etkili bir şekilde azaltarak sistemlerini güvence altına almalarını sağlar.

Ayrıca, daha geniş TSplus yazılım paketi, TSplus Advanced Security'yi tamamlayan değerli özellikler sunar. Dört ana nokta gibi, uzaktan ağımızın dört direği vardır: güvenlik, erişim, izleme ve destek.

TSplus Uzak Erişim Oturum Kapatma ve Ayrıntılı Yönetim için

İlk olarak, TSplus Uzak Erişim , bu nedenle oturum kapatma parametrelerini içerir ve kullanıcı oturumlarının doğru şekilde sonlandırıldığından emin olarak güvenliği artırır. Bu, yetkisiz erişim riskini azaltır. Bu özellik, Citrix Bleed olayının neden olduğu sorunlar gibi ilişkili sorunları ele almak için hayati öneme sahiptir. Yama yapıldıktan sonra bile hiçbir oturum belirteci kalmasını sağlayarak ek bir koruma katmanı sağlar.

TSplus Sunucu İzleme, Sunucu ve Kullanıcı Oturumu Gözetimi için

Ek olarak, TSplus Sunucu İzleme Organizasyonlar için vazgeçilmez bir araçtır. Gerçekten, sunucularının ve web sitelerinin sağlığını gerçek zamanlı olarak izlemenizi sağlar. Citrix Bleed veya benzeri güvenlik açıkları bağlamında, Sunucu İzleme sorunların hızlı bir şekilde tespit edilmesine olanak tanır, bu da zamanında sorun gidermeyi ve iyileştirmeyi başlatmayı kolaylaştırır. Bu proaktif yaklaşım, IT sistemlerinin bütünlüğünün korunması ve ihlallerin önlenmesi için esastır.

TSplus Uzaktan Kontrol, Düzeltme ve Eğitim için Uzak Destek

Son olarak, TSplus Uzaktan Destek Oyunlar, siber güvenlik zorluklarını ele almada kilit bir rol oynar. Herhangi bir BT sorunu için uzaktan yardım ve denetimsiz müdahaleyi kolaylaştırır, hızlı çözüm sağlar ve devam eden zafiyetlerle ilişkili riskleri en aza indirir. Bir Citrix zafiyetini giderme veya başka bir BT endişesini ele alma durumunda, TSplus Uzaktan Destek organizasyonlara herhangi bir yerden hızlı, etkili ve güvenli bir şekilde yanıt verme imkanı sağlar.

Citrix Kanama Güvenlik Açığı CVE-2023-4966 Sonuç Olarak Hoşgeldin Demesine Rağmen Yamasına Rağmen Uzun Süre Kalıyor

Özetle, TSplus Advanced Security, bu tür zayıflıklara karşı harika bir araçtır. Ve, diğer yazılım paketiyle birlikte kullanıldığında, tüm türden siber güvenlik tehditlerine karşı sağlam bir savunma hattı oluştururken ayrıca ayrıntılı yönetim, gerçek zamanlı izleme ve hızlı yanıt yetenekleri sunar. IT altyapılarınızı güvence altına almak ve hassas şirket verilerini korumak için ne daha fazlasını isteyebilirsiniz.

Şirketinizin IT altyapısını siber saldırılara karşı korumak isteyip istemediğinize veya Citrix'i tamamen değiştirmek isteyip istemediğinize bağlı olarak, bugün telefon, e-posta veya web sitemiz aracılığıyla iletişime geçin ve teklifinizi veya denemenizi saniyeler içinde veya birkaç tıklamayla alın.

Paylaş:

Facebook Twitter LinkedIn

Sizin TSplus Ekibiniz

İlgili Gönderiler

back to top of the page icon