Authentifizierung und Sicherheit

CitrixBleed-Angriffe

Citrix Beschnitt

CitrixBleed-Angriffe

Verfasst von
Carla Nadin

August 15, 2024

Erfahren Sie mehr über das Produkt, die Preise und Funktionen von AuthN by IDEE.

Beantragen Sie eine kostenlose Demo heute!

Verwandte Artikel

Sie sollten Ihre Benutzer nach einem Verstoß nicht bitten, Passwörter zu ändern. Dies ist der Grund

Warum Twitter gehackt wurde und wie man es verhindern kann

Barrieren überwinden: Warum die phishingsichere Multifaktor-Authentifizierung der Wendepunkt für Cyberversicherungen ist

Warum sollten Unternehmen auf passwortlose Sicherheit zählen?

Inhaltsverzeichnisse

Überschrift 2
Überschrift 3

Was ist CitrixBleed?

Zweifellos haben Sie von der Zero-Day-Ausnutzung der Sicherheitslücke CitrixBleed (vollständiger Name CVE-2023-4966) gehört. Sie erhielt den Spitznamen CitrixBleed, weil festgestellt wurde, dass die Sicherheitslücke dafür verantwortlich ist, dass vertrauliche Daten aus dem Speicher der NetScaler Appliances verloren gehen, einschließlich Sitzungscookies. Dies wurde ausgenutzt und bei vielen aktuellen und aufsehenerregenden Session-Hijacking-Angriffen in freier Wildbahn ausgenutzt. Kein Wunder, dass wir dann darüber schreiben!

Was musst du wissen? In diesem Artikel behandeln wir, was passiert ist, wer betroffen war, warum es passiert ist und was noch wichtiger ist, wie Sie Ihre eigenen Systeme und Netzwerke schützen können.

CitrixBleed. Was ist passiert?

Alles begann, als ein neuer Patch angekündigt wurde, um die per Fernzugriff ausnutzbare CitrixBleed-Schwachstelle zu beheben. Betrüger hatten sofort einen Überblick darüber, was sich mit dem Patch-Update geändert hatte, und konnten so alle die Geräte verfolgen, die noch nicht aktualisiert wurden.

Es wird vermutet, dass vier Hauptgruppen an diesen Angriffen arbeiten, darunter die Ransomware-Bande Medusa und die in Russland ansässige Gruppe LockBit. Experten zufolge sind die Angriffe von relativ geringer Komplexität. Sie sind leicht zu starten, bringen aber den kriminellen Banden große Gewinne ein. Einige von ihnen geben an, bereits Lösegeld erhalten zu haben.

Die Einheit 42 von Palo Alto berichtet: "... unsere Forscher beobachteten fast 8.000 IP-Adressen, die für eine anfällige Version von NetScaler Gateway waren, und 6.000 IP-Adressen, die für NetScaler ADC-Geräte waren. Die größte Anzahl (3.100) dieser Geräte befindet sich in den Vereinigten Staaten, 800 in Deutschland, 450 in China und 400 im Vereinigten Königreich."

Was sind die Auswirkungen der CitrixBleed-Angriffe?

Es gab mehrere erfolgreiche Angriffe auf CVE 2023 4966, die in allen Fällen zur vollständigen Übernahme legitimer Benutzersitzungen auf NetScaler ADC und anderen Gateway-Appliances führten. Ähnlich wie ein Der Widersacher in der Mitte (AiTM) Bei einem Angriff verwendeten Hacker Sitzungscookies (vorauthentifizierte Token), um die Verwendung von Passwörtern und den Prozess der Multifaktor-Authentifizierung (MFA) zu umgehen.

Laut Mandiant, zu den von ihnen identifizierten Taktiken, Techniken und Verfahren (TTP) nach der Ausbeutung gehörten:

  • Host- und Netzwerkerkennung
  • Sammlung von Umweltzertifikaten
  • Seitliche Bewegung über das Remote-Desktop-Protokoll (RDP)
  • Aktive Directory-Erkennung

Mandiant weist auch auf die Herausforderungen hin, die mit der Anzahl der auf NetScaler verfügbaren Protokolle verbunden sind, was die Untersuchung erschwert:

Kredit https://www.mandiant.com/resources/blog/session-hijacking-citrix-cve-2023-4966

Auf wen hat sich die CitrixBleed-Exploitation ausgewirkt?

Unter den 20.000 betroffenen Nutzern gibt es Opfer aus allen Branchen und einige bedeutende Namen.

Die kriminelle Bande LockBit behauptet, sich in die US-Filiale der Industrial and Commercial Bank of China (ICBC) gehackt zu haben und von der Organisation ein Lösegeld erhalten zu haben, da durch ihren Angriff eine akute Störung verursacht wurde, die die Bank daran hinderte, Gelder abzuwickeln. Dies muss von der Bank noch bestätigt werden, obwohl sie den Verstoß einräumt. ICBC sind nicht allein. Zu den anderen betroffenen Unternehmen gehören Organisationen wie Boeing, DP World, Allen & Overy.

Schadensbegrenzung und Lösungen

  1. Das allererste, was jedes Unternehmen tun sollte, wenn es die allgegenwärtigen Gateways nutzt, ist den Patch zu installieren! Es sind mehrere Appliances betroffen.
  2. Als Nächstes werden Anmeldeinformationen für Identitäten gesperrt, die über den anfälligen NetScaler ADC oder Gateway Zugriff auf Ressourcen haben.

Laut dem Update von Mandiant "sollten Unternehmen die Rotation der Anmeldeinformationen für einen größeren Umfang von Identitäten priorisieren, wenn der Fernzugriff mit Single Factor Authentication (SFA) für alle Ressourcen aus dem Internet zulässig ist."

Hier macht AuthN von IDEE einen entscheidenden Unterschied. Es schützt den Fernzugriff genauso wie andere Zugriffskanäle mit höchster Sicherheit Phishing-sicheres MFA. Nach einer Sicherheitsverletzung ist keine Rotation der Anmeldeinformationen erforderlich, da ein Angreifer keine Zugangsdaten stehlen kann.

Um zu überprüfen, ob Ihre Hardware betroffen ist, und weitere Informationen dazu, was zu tun ist, finden Sie unter:

https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
https://www.cisa.gov/guidance-addressing-citrix-netscaler-adc-and-gateway-vulnerability-cve-2023-4966-citrix-bleed

Weitere Informationen darüber, wie AuthN by IDEE Ihrem Unternehmen helfen kann, wenden Sie sich bitte an. Sie können auch auschecken Phishing-geschütztes Whitepaper Dies erklärt die AuthN-Architektur und erklärt, warum und wie AuthN ein phishingsicheres MFA ist, das ohne zusätzliche Agenten bereitgestellt werden kann und Benutzern die Möglichkeit bietet, sich einfach auf einem einzigen Gerät zu authentifizieren.

Sicherheit bei der Authentifizierung
Datenschutzverletzungen
Passwortsicherheit
Passwortlose Authentifizierung
Null Vertrauen
Carla Nadin

Carla leitet das Marketing der IDEE GmbH. Carla verfügt über langjährige Erfahrung im Channel und hilft Anbietern, Händlern und Partnern dabei, ihre Vertriebs- und Marketingziele zu erreichen.

http://www.getidee.com/blog/citrixbleed-attacks
Beitrag teilen
linkedin-Symbol weiß

Verwandte Beiträge

Wenn Ihnen unsere Inhalte hier gefallen, werden Sie die Inhalte lieben, die wir auf LinkedIn teilen.

Wenn Ihnen unsere Inhalte gefallen
folgen Sie uns auf LinkedIn

Folge uns
linkedin-Symbol weiß