We've detected you might be speaking a different language. Do you want to change to:

目錄

網絡新聞由一個比一個更令人恐懼和擔憂的故事組成,這是一個適合十月底的主題。Citrix Bleed 也不例外。在夏初出現漏洞並修補後,Citrix 在這個秋天的大部分時間裡一直因為進入大型企業和政府網絡的消息而成為頭條新聞。以下是 Citrix Bleed 漏洞 CVE-2023-4966 如何在某些領域引起不眠之夜,隨之而來的建議以及我們自己的解決方案和保護措施,以保護您的遠程基礎設施免受此類危險。消息並非全是壞的。

Citrix NetScaler ADC 和 NetScaler Gateway 遭受攻擊

Citrix Bleed,一個影響 NetScaler ADC 和 NetScaler Gateway 的關鍵信息洩露漏洞,已經處於“大規模利用”狀態,儘管在 10 月 10 日發布了補丁,但仍有數千台易受攻擊的 Citrix 伺服器在線。自那時以來,定期的新聞提醒我們,該漏洞仍然允許攻擊者訪問暴露設備的記憶體。在那裡,攻擊會提取會話令牌以進行未經授權的訪問,即使已經應用了補丁。

勒索軟體團伙一直在利用這個漏洞,Mandiant 正在追蹤多個針對全球各個行業的團體。美國政府已將其歸類為未知的被利用漏洞。Google 旗下的 Mandiant 強調需要終止所有活動會話以有效緩解。自八月底以來,該漏洞已被利用,犯罪分子將其用於網絡間諜活動。預計金融威脅行為者也會利用這一漏洞,因此在為時已晚之前停止 Citrix Bleed 顯得尤為重要。

CVE-2023-4966 漏洞儘管已修補仍在持續

截至10月30日,已有超過5,000個易受攻擊的伺服器暴露在公共互聯網上。GreyNoise觀察到在過去一週內有137個獨立IP地址試圖利用這個Citrix漏洞。儘管Citrix迅速披露並發布了補丁(CVE-2023-4966)於10月10日,情況迅速惡化。即使在應用補丁後,會話令牌仍然存在,使系統易受攻擊。情況的嚴重性在於,正如所擔心的那樣,勒索軟體團隊已經抓住機會利用這個漏洞,分發python腳本來自動化攻擊鏈。

策略性設計的工具和步驟以應對攻擊

這些攻擊已經變得多方面的性質,超越了最初的利用階段。攻擊者最初似乎從事網絡偵察。然而,目標顯然已經擴展到竊取關鍵帳戶憑證,並顯示出在受損網絡中的橫向移動。在這個階段,他們使用了多種工具,展示了對其惡意活動的精心策劃方法。

這些活動背後的人在其方法上展示了高度的複雜性,使用了各種工具和技術來達成他們的目標。攻擊者使用特製的HTTP GET請求來強迫Citrix設備顯示系統記憶體內容,包括有效的Netscaler AAA會話cookie。這使他們能夠繞過多因素身份驗證,使他們的入侵更加隱蔽。

注意特定工具組合

他們武器庫中一個顯著的工具是FREEFIRE,一種使用Slack進行指揮和控制的新型輕量級.NET後門。這是武器庫中唯一不尋常的工具。攻擊利用了許多標準和本地進程,此外還有常見的遠端桌面訪問和管理工具Atera、AnyDesk和SplashTop。這表明黑客為了保持隱形而付出了多大的努力。事實上,這些工具單獨使用時通常在合法的企業環境中出現,只有威脅行為者的組合部署才是一個顯著的警告信號。除非您的安全軟件和團隊正在關注這種表明妥協的組合,否則它將不會被注意到。

以下是駭客用來檢索會話信息並橫向移動通過網絡的工具列表(以及Bleeping Computer描述的用途):

  • net.exe – Active Directory (AD) 偵察
  • netscan.exe – 內部網絡枚舉
  • 7-zip – 建立加密分段檔案以壓縮偵察數據;
  • certutil – 編碼(base64)和解碼數據文件並部署後門;
  • e.exe 和 d.dll – 載入到LSASS進程記憶體並創建記憶體轉儲文件;
  • sh3.exe 執行 Mimikatz LSADUMP 命令以提取憑證;
  • FREEFIRE – 新型輕量級 .NET 後門程式使用 Slack 進行指揮和控制
  • Atera – 遠端監控和管理
  • AnyDesk – 遠端桌面
  • SplashTop – 遠端桌面。

如你所同意,除非你發現它們全部結合在一起,否則沒什麼不妥。除了其中一個:FREEFIRE。

黑客在 Citrix Bleed 中特別使用 FREEFIRE

值得注意的是,雖然這些工具中的一些通常在企業環境中可以找到,但它們在這些活動中的結合使用是違規的強烈指標。Mandiant 甚至發布了一個 Yara 規則,用於檢測設備上是否存在 FREEFIRE。這個工具在幫助組織主動識別受損系統並迅速採取行動以減輕風險方面特別有價值。

在下方,您可以找到檢測FREEFIRE的Yara規則。不過,如果您希望在那裡驗證Yara規則或閱讀MITRE ATT&CK技術,這些都在Mandiant文章中結束。在那裡,您還可以找到他們的連結到Mandiant的“Citrix NetScaler ADC/Gateway: CVE-2023-4966修復”指南的PDF。

Mandiant 的 Yara 規則在 Citrix Bleed 情境中追捕 FREEFIRE

並且規則作為文本:

Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }

防範 Citrix NetScaler 漏洞 CVE-2023-4966 的一些提醒

這些發現的匯聚突顯了組織採取全面事件響應方法的迫切需要。僅僅應用可用的安全更新不足以解決現有的漏洞。必須強調的是,關閉所有活動會話是必不可少的,否則它們將繼續被利用。全面的響應對於遏制漏洞、評估妥協的程度以及在必要時啟動系統恢復所需的步驟是至關重要的。

Mandiant 的修復指南和其他出版物為組織在應對這些具有挑戰性的後利用情境時提供了必要的實用步驟。全球政府組織正在傳達這些建議、警告和保護過程,以期阻止這些攻擊。

TSplus Advanced Security - 對抗 Citrix Bleed 和其他攻擊的最佳保護

我們相信我們的360°網絡保護, TSplus 高級安全性 , 是保護您的業務和 IT 基礎設施免受此威脅和其他威脅的無與倫比的選擇。事實上,像 Citrix Bleed 漏洞這樣的漏洞表明,太多的情境和基礎設施中的網絡安全不足。因此,企業必須優先考慮全面的解決方案,以保護其 IT 基礎設施和敏感數據。TSplus Advanced Security 是應對這些緊迫問題的強大且全面的解決方案。

這款綜合安全工具提供多方面的方法來確保IT系統的保護,防範各種威脅,包括零日漏洞、惡意軟件和未經授權的訪問。


TSplus 高級安全性作為整體遠端軟體套件的一部分

One of the key benefits of 是其中一個主要優勢 TSplus 高級安全性 其優勢在於加強您組織的IT基礎設施,以防範像CVE-2023-4966這樣對組織產生深遠影響的漏洞。它使企業能夠通過防止未經授權訪問並有效地緩解網絡安全威脅來保護其系統。

此外,更廣泛的TSplus軟體套件提供了無價的功能,補充了TSplus Advanced Security。就像四個基本方向一樣,我們有四個遠端網路的支柱:安全性、存取、監控和支援。

TSplus Remote Access 用於會話登出和細緻管理

首先 TSplus 遠端存取 因此,包括會話註銷參數,以確保用戶會話正確終止來增強安全性。最重要的是,這減少了未經授權訪問的風險。此功能在解決由 Citrix Bleed 事件的漏洞引起的相關問題方面至關重要。通過確保即使在修補後也不會持續存在會話令牌,它提供了額外的保護層。

TSplus 伺服器監控用於伺服器和用戶會話監視

此外 TSplus 伺服器監控 是組織不可或缺的工具。確實,它使您能夠實時監控其伺服器和網站的健康狀況。在 Citrix Bleed 或類似漏洞的情況下,伺服器監控可以快速識別問題,從而更容易及時啟動故障排除和修復。這種主動的方法對於維護 IT 系統的完整性和防止漏洞至關重要。

TSplus 遠端支援用於遠程控制、修復和培訓

最後 TSplus 遠端支援 在解決網絡安全挑戰方面發揮關鍵作用。它促進遠程協助和無人值守的干預,以解決任何IT問題,確保迅速解決並最大限度地減少持續漏洞相關的風險。無論是排除Citrix漏洞還是解決任何其他IT問題,TSplus Remote Support使組織能夠從任何地方快速、高效和安全地做出回應。

作為對 Citrix Bleed 漏洞 CVE-2023-4966 的結論,儘管已經修補,仍然持續存在

總結來說,TSplus Advanced Security 是對抗此類漏洞的絕佳工具。 並且,結合其餘的軟體套件,它形成了針對各種網絡安全威脅的強大防線,並提供細緻的管理、實時監控和快速響應能力。 還有什麼比這更能保護您的IT基礎設施和保障敏感的公司數據呢。

無論您是想保護公司IT基礎設施免受網絡攻擊,還是想完全取代Citrix, 今天通過電話、電子郵件或我們的網站聯繫我們 並在幾秒鐘或幾次點擊內獲取報價或試用。

分享:

Facebook Twitter LinkedIn

您的TSplus团队

相關文章

back to top of the page icon