We've detected you might be speaking a different language. Do you want to change to:

Mục lục

Tin tức về mạng lưới bị tấn công bởi các câu chuyện đáng sợ và lo lắng hơn từ trước, một chủ đề phù hợp cho cuối tháng Mười. Citrix Bleed cũng không ngoại lệ. Sau một lỗ hổng trước đó và việc vá lỗi vào đầu mùa hè, Citrix đã thu hút sự chú ý của đa số mùa thu này với tin tức về việc xâm nhập vào các mạng lưới lớn của các công ty và tổ chức chính phủ. Đây là cách lỗ hổng Citrix Bleed CVE-2023-4966 đang gây ra những đêm không ngủ ở một số lĩnh vực, đồng thời đưa ra các khuyến nghị và giải pháp của chúng tôi để bảo vệ hạ tầng từ xa của bạn khỏi những nguy hiểm như vậy. Tin tức không phải lúc nào cũng xấu.

Citrix NetScaler ADC và NetScaler Gateway dưới lửa

Citrix Bleed, một lỗi tiết lộ thông tin quan trọng ảnh hưởng đến NetScaler ADC và NetScaler Gateway, đã bị "khai thác hàng loạt," với hàng nghìn máy chủ Citrix dễ bị tấn công vẫn còn trực tuyến mặc dù đã phát hành một bản vá vào ngày 10 tháng 10. Kể từ đó, các làn sóng tin tức thường xuyên đã nhắc nhở chúng ta rằng lỗ hổng vẫn cho phép các kẻ tấn công truy cập vào bộ nhớ của các thiết bị bị tiết lộ. Ở đó, các cuộc tấn công trích xuất mã thông báo phiên để truy cập không được ủy quyền, ngay cả khi bản vá đã được áp dụng.

Nhóm tội phạm Ransomware đã khai thác lỗ hổng này và Mandiant đang theo dõi nhiều nhóm tấn công nhắm vào các lĩnh vực khác nhau trên toàn cầu. Chính phủ Mỹ đã phân loại nó là một lỗ hổng bị khai thác chưa biết. Mandiant thuộc sở hữu của Google nhấn mạnh việc cần chấm dứt tất cả các phiên hoạt động để giảm thiểu hiệu quả. Lỗi đã bị khai thác từ cuối tháng Tám, với tội phạm sử dụng nó cho tình báo mạng. Các nhà hành động đe dọa tài chính đã được dự đoán sẽ khai thác, vì vậy việc ngừng Citrix Bleed trở nên quan trọng hơn bao giờ hết trước khi quá muộn.

CVE-2023-4966 Lỗ hổng Vẫn Đang Tiếp Diễn Mặc Dù Đã Patch

Dường như, tính đến ngày 30 tháng 10, đã có hơn 5.000 máy chủ dễ bị tấn công trên internet công cộng. GreyNoise đã quan sát 137 địa chỉ IP cá nhân cố gắng khai thác lỗ hổng Citrix này trong tuần qua. Mặc dù Citrix đã tiết lộ kịp thời và phát hành một bản vá (CVE-2023-4966) vào ngày 10 tháng 10, tình hình đã leo thang nhanh chóng. Ngay cả sau khi áp dụng bản vá, các token phiên vẫn tồn tại, khiến hệ thống dễ bị khai thác. Tính nghiêm trọng của tình hình được nhấn mạnh bởi việc, như lo ngại, các nhóm ransomware đã tận dụng cơ hội này để khai thác lỗ hổng này, phân phối các tập lệnh python để tự động hóa chuỗi tấn công.

Công cụ và Bước đi được lên kế hoạch chiến lược cho các cuộc tấn công

Các cuộc tấn công này đã mặc một bản chất đa chiều khi chúng tiến triển vượt xa khỏi việc khai thác ban đầu. Các kẻ tấn công dường như ban đầu đã tham gia vào việc tìm kiếm mạng lưới. Tuy nhiên, mục tiêu rõ ràng đã mở rộng đến việc đánh cắp thông tin đăng nhập tài khoản quan trọng và thể hiện sự di chuyển bên cạnh thông qua các mạng bị xâm nhập. Trong giai đoạn này, họ đã sử dụng một bộ công cụ đa dạng, thể hiện một cách tiếp cận tinh vi đối với các hoạt động độc hại của họ.

Những người đứng sau những chiến dịch này đã thể hiện một mức độ tinh vi cao trong cách tiếp cận của họ, sử dụng một loạt các công cụ và kỹ thuật để đạt được mục tiêu của họ. Các kẻ tấn công đã sử dụng các yêu cầu HTTP GET được tạo đặc biệt để buộc thiết bị Citrix tiết lộ nội dung bộ nhớ hệ thống, bao gồm cả cookie phiên Netscaler AAA hợp lệ. Điều này đã cho phép họ vượt qua xác thực đa yếu tố, làm cho sự xâm nhập của họ trở nên nguy hiểm hơn.

Chú ý đến sự kết hợp công cụ cụ thể

Một công cụ đáng chú ý trong bộ sưu tập của họ là FREEFIRE, một công cụ backdoor .NET nhẹ mới sử dụng Slack để điều khiển lệnh. Đây là công cụ không bình thường duy nhất trong bộ sưu tập. Các cuộc tấn công đã tận dụng nhiều quy trình tiêu chuẩn và cơ bản, với sự bổ sung của các công cụ truy cập và quản lý máy tính từ xa thông thường như Atera, AnyDesk và SplashTop. Điều này cho thấy các hacker đã làm việc chăm chỉ để duy trì sự vô hình. Thực sự, trong khi mỗi công cụ này thường được tìm thấy trong môi trường doanh nghiệp hợp lệ, chỉ việc triển khai kết hợp của chúng bởi các tác nhân đe dọa mới là dấu hiệu đỏ quan trọng. Trừ khi phần mềm bảo mật và nhóm của bạn đang tìm kiếm sự kết hợp này là dấu hiệu của một sự vi phạm, nó sẽ trôi qua mà không bị phát hiện.

Dưới đây là danh sách các công cụ mà các hacker đã sử dụng để khôi phục thông tin phiên và di chuyển theo chiều ngang qua các mạng (cũng như mục đích của họ như mô tả bởi Bleeping Computer):

  • net.exe – Khám phá Active Directory (AD);
  • netscan.exe - liệt kê mạng nội bộ;
  • 7-zip - tạo một bản lưu trữ phân đoạn được mã hóa để nén dữ liệu tìm hiểu;
  • certutil - mã hóa (base64) và giải mã tệp dữ liệu và triển khai cửa sau;
  • e.exe và d.dll - tải vào bộ nhớ tiến trình LSASS và tạo tệp bộ nhớ dump;
  • sh3.exe - chạy lệnh Mimikatz LSADUMP để trích xuất thông tin đăng nhập;
  • FREEFIRE – phần mềm độc lập nhẹ .NET mới sử dụng Slack để điều khiển và kiểm soát;
  • Atera Quản lý và giám sát từ xa;
  • AnyDesk – Máy tính từ xa;
  • SplashTop – Máy tính từ xa.

Như bạn có thể đồng ý, không có gì đáng ngạc nhiên trừ khi bạn tìm thấy tất cả chúng được kết hợp. Ngoại trừ một điều, đó là: FREEFIRE.

FREEFIRE đặc biệt được sử dụng bởi các hacker trong Citrix Bleed.

Đáng chú ý rằng trong khi một số công cụ này thường được tìm thấy trong môi trường doanh nghiệp, việc sử dụng kết hợp của chúng trong các chiến dịch này là một dấu hiệu mạnh mẽ của việc xâm nhập. Mandiant đã phát hành một quy tắc Yara được sử dụng để phát hiện sự hiện diện của FREEFIRE trên một thiết bị. Công cụ này đặc biệt quý giá trong việc giúp tổ chức xác định một cách chủ động các hệ thống bị xâm nhập và thực hiện hành động nhanh chóng để giảm thiểu rủi ro.

Dưới đây, bạn có thể tìm thấy quy tắc Yara để phát hiện FREEFIRE. Tuy nhiên, nếu bạn muốn xác minh quy tắc Yara đó hoặc đọc các kỹ thuật MITRE ATT&CK, hãy đóng bài viết của Mandiant. Ở đó, bạn cũng có thể tìm thấy liên kết đến hướng dẫn "Khắc phục CVE-2023-4966 cho Citrix NetScaler ADC/Gateway" của Mandiant dưới dạng tài liệu PDF.

Quy tắc Yara của Mandiant để săn lùng FREEFIRE trong ngữ cảnh Citrix Bleed

Và quy tắc như văn bản:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

Nhắc nhở một số cách phòng ngừa lỗ hổng Citrix NetScaler CVE-2023-4966

Sự hội tụ của những kết luận này nhấn mạnh nhu cầu cấp bách cho các tổ chức áp dụng một phương pháp phản ứng sự cố toàn diện. Việc áp dụng đơn giản chỉ các bản cập nhật bảo mật có sẵn không đủ để giải quyết các vi phạm hiện tại. Việc đó là cần thiết để đóng tất cả các phiên hoạt động trừ khi chúng vẫn có thể bị khai thác không thể đủ để nhấn mạnh. Một phản ứng hoàn chỉnh là bắt buộc để kiểm soát việc xâm nhập, đánh giá phạm vi của sự vi phạm và nếu cần thiết khởi đầu các bước cần thiết để khôi phục hệ thống.

Hướng dẫn khắc phục của Mandiant và các bản xuất bản khác cung cấp các bước thực tế quan trọng cho các tổ chức đang điều hướng qua các tình huống khai thác sau cuộc tấn công khó khăn này. Các tổ chức chính phủ trên toàn cầu đang truyền đạt các khuyến nghị, cảnh báo và quy trình bảo vệ này nhằm ngăn chặn các cuộc tấn công này.

TSplus Advanced Security - Bảo vệ Tốt Nhất Chống Lại Citrix Bleed và Các Cuộc Tấn Công Khác

Chúng tôi tin rằng bảo vệ cyber 360° của chúng tôi, TSplus Advanced Security TSplus Advanced Security không có đối thủ trong việc bảo vệ doanh nghiệp và cơ sở hạ tầng công nghệ thông tin của bạn khỏi mối đe dọa này và các mối đe dọa khác. Thực tế, các lỗ hổng như lỗ hổng Citrix Bleed chỉ ra sự không đủ của an ninh mạng trong quá nhiều ngữ cảnh và cơ sở hạ tầng. Do đó, các doanh nghiệp phải ưu tiên các giải pháp toàn diện để bảo vệ cơ sở hạ tầng công nghệ thông tin và dữ liệu nhạy cảm của họ. TSplus Advanced Security đứng ra là một câu trả lời mạnh mẽ và toàn diện cho những lo ngại cấp bách này.

Công cụ bảo mật toàn diện này cung cấp một phương pháp đa chiều để đảm bảo bảo vệ hệ thống IT, ngăn chặn một loạt các mối đe dọa, bao gồm các cuộc tấn công zero-day, phần mềm độc hại và truy cập không được ủy quyền.


TSplus Advanced Security là một phần của Bộ ứng dụng phần mềm từ xa toàn diện

Một trong những lợi ích chính của TSplus Advanced Security Nằm ở khả năng củng cố cơ sở hạ tầng công nghệ thông tin của tổ chức của bạn chống lại các lỗ hổng như CVE-2023-4966, có tác động sâu rộng. Nó giúp doanh nghiệp bảo vệ hệ thống của họ bằng cách ngăn chặn truy cập không được ủy quyền và hiệu quả giảm thiểu các mối đe dọa an ninh mạng.

Ngoài ra, bộ sản phẩm phần mềm TSplus rộng lớn cung cấp các tính năng không thể thiếu để bổ sung cho TSplus Advanced Security. Tương tự như bốn hướng chính, chúng tôi có bốn trụ cột cho mạng lưới từ xa: bảo mật, truy cập, giám sát và hỗ trợ.

TSplus Truy cập từ xa cho Đăng xuất Phiên và Quản lý Tích hợp

Đầu tiên, TSplus Remote Access , do đó, bao gồm các thông số đăng xuất phiên để tăng cường bảo mật bằng việc đảm bảo rằng các phiên người dùng được chấm dứt đúng cách. Quan trọng nhất, điều này giảm nguy cơ truy cập không được ủy quyền. Tính năng này rất quan trọng trong việc giải quyết các vấn đề liên quan như những vấn đề do các cuộc tấn công của sự cố Citrix Bleed gây ra. Bằng việc đảm bảo rằng không có mã thông báo phiên nào tồn tại, ngay cả sau khi vá lỗi, nó cung cấp một lớp bảo vệ bổ sung.

Giám sát máy chủ TSplus cho Giám sát Máy chủ và Phiên người dùng.

Ngoài ra, TSplus Server Monitoring Là một công cụ không thể thiếu đối với các tổ chức. Thực sự, nó cho phép bạn theo dõi sức khỏe của máy chủ và trang web của họ trong thời gian thực. Trong bối cảnh của các lỗ hổng Citrix Bleed hoặc tương tự, Giám sát Máy chủ cho phép xác định nhanh chóng vấn đề, từ đó làm cho việc khởi đầu sửa chữa và khắc phục kịp thời dễ dàng hơn. Tiếp cận tích cực này là quan trọng để duy trì tính toàn vẹn của hệ thống IT và ngăn chặn các vi phạm.

TSplus Hỗ trợ từ xa cho Điều khiển, Sửa chữa và Đào tạo

Cuối cùng, TSplus Remote Support TSplus Remote Support đóng vai trò quan trọng trong việc giải quyết các thách thức về an ninh mạng. Nó hỗ trợ hỗ trợ từ xa và can thiệp không cần sự hiện diện cho bất kỳ vấn đề IT nào, đảm bảo giải quyết nhanh chóng và giảm thiểu các rủi ro liên quan đến các lỗ hổng tiềm ẩn. Cho dù là sửa chữa một lỗ hổng Citrix hoặc giải quyết bất kỳ vấn đề IT nào khác, TSplus Remote Support giúp các tổ chức phản ứng nhanh chóng, hiệu quả và an toàn, từ bất kỳ đâu.

Kết luận về Lỗ hổng Citrix Bleed CVE-2023-4966 Vẫn còn tồn tại mặc dù đã được vá chữa

Tóm lại, TSplus Advanced Security là một công cụ tuyệt vời chống lại những lỗ hổng như vậy. Và, khi kết hợp với phần còn lại của bộ phần mềm, nó tạo thành một dòng sản phẩm phòng thủ mạnh mẽ chống lại mọi loại mối đe dọa an ninh mạng cũng như cung cấp khả năng quản lý chi tiết, giám sát thời gian thực và khả năng phản ứng nhanh chóng. Cần gì hơn nữa để bảo vệ cơ sở hạ tầng IT của bạn và bảo vệ dữ liệu quan trọng của công ty.

Cho dù bạn muốn bảo vệ cơ sở hạ tầng công nghệ thông tin của công ty khỏi các cuộc tấn công mạng hay muốn thay thế Citrix toàn bộ, liên hệ ngay hôm nay qua điện thoại, email hoặc trang web của chúng tôi và nhận báo giá hoặc thử nghiệm của bạn trong vài giây hoặc vài cú nhấp chuột.

Chia sẻ:

Facebook Twitter LinkedIn

Nhóm của bạn TSplus

Bài viết liên quan

back to top of the page icon