Η Citrix υπενθυμίζει στους διαχειριστές ότι πρέπει να λάβουν επιπλέον μέτρα μετά την επιδιόρθωση των συσκευών NetScaler τους κατά της ευπάθειας CVE-2023-4966 ‘Citrix Bleed’ για να προστατεύσουν τις ευπάθεις συσκευές από επιθέσεις.
Δείτε επίσης: Το πρόσφατα διορθωμένο Citrix NetScaler bug είχε χρησιμοποιηθεί ως zero-day
Εκτός από την εφαρμογή των απαραίτητων ενημερώσεων ασφαλείας, συνιστάται επίσης να διαγράψουν όλες τις προηγούμενες συνεδρίες χρήστη και να τερματίσουν όλες τις ενεργές. Αυτό είναι ένα κρίσιμο βήμα, καθώς οι επιτιθέμενοι πίσω από την εκμετάλλευση Citrix Bleed κλέβουν τα διαπιστευτήρια πιστοποίησης, επιτρέποντάς τους να έχουν πρόσβαση σε παραβιασμένες συσκευές ακόμα και μετά την εφαρμογή των ενημερώσεων.
H Citrix διόρθωσε το σφάλμα στις αρχές Οκτωβρίου, αλλά η Mandiant αποκάλυψε ότι χρησιμοποιήθηκε ενεργά ως zero-day τουλάχιστον από ατα τέλη Αυγούστου του 2023.
Η Mandiant προειδοποίησε επίσης ότι οι παραβιασμένες συνεδρίες του NetScaler διαρκούν ακόμη και μετά την επιδιόρθωση, επιτρέποντας στους επιτιθέμενους να κινηθούν πλευρικά στο δίκτυο ή να παραβιάσουν άλλους λογαριασμούς ανάλογα με τις άδειες που έχουν οι παραβιασμένοι λογαριασμοί.
“Εάν χρησιμοποιείτε οποιαδήποτε από τις επηρεαζόμενες εκδόσεις που αναφέρονται στο δελτίο ασφαλείας, σας συνιστούμε να αναβαθμίσετε αμέσως εγκαθιστώντας τις ενημερωμένες εκδόσεις. Μετά την αναβάθμιση, σας προτείνουμε να αφαιρέσετε οποιεσδήποτε ενεργές ή μόνιμες συνεδρίες“, ανέφερε η Citrix σήμερα.
Δείτε ακόμα: Νέο κρίσιμο σφάλμα Citrix ADC και Gateway χρησιμοποιείται ως zero-day
Αυτή είναι η δεύτερη φορά που η εταιρεία προειδοποιεί τους πελάτες να τερματίσουν όλες τις ενεργές και μόνιμες συνεδρίες χρησιμοποιώντας τις παρακάτω εντολές:
- kill icaconnection -all
- kill rdp connection -all
- kill pcoipConnection -all
- kill aaa session -all
- clear lb persistentSessions
Σήμερα, η CISA και το FBI προειδοποίησαν ότι η ομάδα LockBit ransomware εκμεταλλεύεται το ελάττωμα ασφαλείας Citrix Bleed με κοινή ενημέρωση με το Multi-State Information Sharing & Analysis Center (MS-ISAC) και το Australian Cyber Security Center (ACSC).
Οι αρχές μοιράστηκαν επίσης ενδείξεις παραβίασης και μεθόδους ανίχνευσης για να βοηθήσουν τους ειδικούς στο να αποτρέψουν τις επιθέσεις της ομάδας ransomware που κρυπτογραφεί τα αρχεία και ζητά λύτρα.
Δείτε επίσης: Citrix NetScaler: Χάκερς κλέβουν διαπιστευτήρια από τις σελίδες σύνδεσής του
Yπάρχουν ωστόσο εναλλακτικές μέθοδοι για να αποκλείσετε τους χάκερ που στοχεύουν το NetScaler. Μία από αυτές τις μεθόδους είναι η χρήση ενός firewall για να φιλτράρετε την εισερχόμενη κίνηση και να αποκλείσετε τις ανεπιθύμητες συνδέσεις. Μπορείτε να ρυθμίσετε το firewall σας ώστε να επιτρέπει μόνο συγκεκριμένες IP διευθύνσεις ή να αποκλείει συγκεκριμένες IP διευθύνσεις που είναι γνωστές για κακόβουλες ενέργειες.
Ένας άλλος τρόπος για να αποκλείσετε τους χάκερ είναι να χρησιμοποιήσετε ένα IDS/IPS σύστημα (Intrusion Detection/Prevention System). Αυτό το σύστημα ανιχνεύει και αποκλείει αυτόματα κακόβουλη κίνηση και επιθέσεις. Μπορείτε να ρυθμίσετε το IDS/IPS σας για να αναγνωρίζει τα χαρακτηριστικά των επιθέσεων που στοχεύουν το NetScaler και να τις αποκλείει αυτόματα.
Επιπλέον, μπορείτε να χρησιμοποιήσετε ένα Web Application Firewall (WAF) για να προστατεύσετε το NetScaler από επιθέσεις. Ένα WAF ανιχνεύει και φιλτράρει την εισερχόμενη κίνηση στο επίπεδο της εφαρμογής, αναγνωρίζοντας και αποκλείοντας κακόβουλες ενέργειες. Μπορείτε να ρυθμίσετε το WAF σας για να αποκλείει ειδικούς τύπους επιθέσεων που στοχεύουν το NetScaler, όπως SQL injection ή Cross-Site Scripting (XSS) επιθέσεις.
Πηγή: bleepingcomputer
