- 9,340
- 18
- 8 Ноя 2022
Специалисты детализируют активность киберпреступников.
Специалисты ИБ-компании Mandiant Для просмотра ссылки Войдиили Зарегистрируйся активную эксплуатацию уязвимости в системах NetScaler ADC и Gateway компании Citrix . Проблема Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.4) была зафиксирована еще в конце августа 2023 года, но Для просмотра ссылки Войди или Зарегистрируйся только 10 октября.
Уязвимость позволяла злоумышленникам перехватывать управление легитимными пользовательскими сессиями, обходя системы аутентификации, включая пароли и двухфакторную аутентификацию (two-factor authentication, 2FA ). Эксплуатация уязвимости продолжалась даже Для просмотра ссылки Войдиили Зарегистрируйся от Citrix.
Аналитики Mandiant сообщают о случаях успешной эксплуатации, в результате которой злоумышленники могли собирать конфиденциальную информацию, внедрять вредоносные программы и перемещаться по сети с использованием протокола RDP . Как было установлено, уязвимая конечная точка была обнаружена с помощью анализа прошивок и создания HTTP -запросов с расширенным заголовком Host, что приводило к раскрытию содержимого системной памяти устройства.
Отследить попытки эксплуатации уязвимости оказалось непросто, поскольку серверные запросы к ней не логировались. Эксперты Mandiant рекомендуют использовать WAF (Web Application Firewall) или схожие сетевые устройства для регистрации HTTP/S запросов в целях идентификации попыток эксплуатации.
Для выявления несанкционированного доступа предлагается анализировать логи WAF, следить за подозрительными паттернами входа в систему NetScaler, проверять ключи Windows Registry и анализировать файлы дампа памяти.
После успешного взлома наблюдались различные действия пост-эксплуатации: разведка, сбор учетных данных, использование различных инструментов для доступа, в том числе Mimikatz для сбора информации из памяти процессов и инструменты управления и мониторинга, например Atera , AnyDesk и SplashTop .
Расследование затронуло организации в различных секторах, включая правовую сферу, профессиональные услуги, технологии и государственные структуры в Америке, ЕМЕА (Europe, the Middle East and Africa) и Азиатско-Тихоокеанском регионе. Эксперты отслеживают действия четырех ранее не зарегистрированных группировок.
Компания Mandiant также опубликовала рекомендации по устранению уязвимости и предотвращению подобных инцидентов в будущем. Эксперты настоятельно рекомендуют клиентам немедленно устанавливать исправления и проводить анализ угроз в рамках реагирования на инциденты.
Обнаружение уязвимости CVE-2023-4966 в системах Citrix стало поводом для глубокого исследования эксплуатации и последующих действий злоумышленников. Информация от Mandiant позволяет понять сложность проблемы и необходимость комплексного подхода к решению вопроса безопасности.
Специалисты ИБ-компании Mandiant Для просмотра ссылки Войди
Уязвимость позволяла злоумышленникам перехватывать управление легитимными пользовательскими сессиями, обходя системы аутентификации, включая пароли и двухфакторную аутентификацию (two-factor authentication, 2FA ). Эксплуатация уязвимости продолжалась даже Для просмотра ссылки Войди
Аналитики Mandiant сообщают о случаях успешной эксплуатации, в результате которой злоумышленники могли собирать конфиденциальную информацию, внедрять вредоносные программы и перемещаться по сети с использованием протокола RDP . Как было установлено, уязвимая конечная точка была обнаружена с помощью анализа прошивок и создания HTTP -запросов с расширенным заголовком Host, что приводило к раскрытию содержимого системной памяти устройства.
Отследить попытки эксплуатации уязвимости оказалось непросто, поскольку серверные запросы к ней не логировались. Эксперты Mandiant рекомендуют использовать WAF (Web Application Firewall) или схожие сетевые устройства для регистрации HTTP/S запросов в целях идентификации попыток эксплуатации.
Для выявления несанкционированного доступа предлагается анализировать логи WAF, следить за подозрительными паттернами входа в систему NetScaler, проверять ключи Windows Registry и анализировать файлы дампа памяти.
После успешного взлома наблюдались различные действия пост-эксплуатации: разведка, сбор учетных данных, использование различных инструментов для доступа, в том числе Mimikatz для сбора информации из памяти процессов и инструменты управления и мониторинга, например Atera , AnyDesk и SplashTop .
Расследование затронуло организации в различных секторах, включая правовую сферу, профессиональные услуги, технологии и государственные структуры в Америке, ЕМЕА (Europe, the Middle East and Africa) и Азиатско-Тихоокеанском регионе. Эксперты отслеживают действия четырех ранее не зарегистрированных группировок.
Компания Mandiant также опубликовала рекомендации по устранению уязвимости и предотвращению подобных инцидентов в будущем. Эксперты настоятельно рекомендуют клиентам немедленно устанавливать исправления и проводить анализ угроз в рамках реагирования на инциденты.
Обнаружение уязвимости CVE-2023-4966 в системах Citrix стало поводом для глубокого исследования эксплуатации и последующих действий злоумышленников. Информация от Mandiant позволяет понять сложность проблемы и необходимость комплексного подхода к решению вопроса безопасности.
- Источник новости
- www.securitylab.ru
