CitrixBleed-Angriffe
Erfahren Sie mehr über das Produkt, die Preise und Funktionen von AuthN by IDEE.
Beantragen Sie eine kostenlose Demo heute!
Was ist CitrixBleed?
Zweifellos haben Sie von der Zero-Day-Ausnutzung der Sicherheitslücke CitrixBleed (vollständiger Name CVE-2023-4966) gehört. Sie erhielt den Spitznamen CitrixBleed, weil festgestellt wurde, dass die Sicherheitslücke dafür verantwortlich ist, dass vertrauliche Daten aus dem Speicher der NetScaler Appliances verloren gehen, einschließlich Sitzungscookies. Dies wurde ausgenutzt und bei vielen aktuellen und aufsehenerregenden Session-Hijacking-Angriffen in freier Wildbahn ausgenutzt. Kein Wunder, dass wir dann darüber schreiben!
Was musst du wissen? In diesem Artikel behandeln wir, was passiert ist, wer betroffen war, warum es passiert ist und was noch wichtiger ist, wie Sie Ihre eigenen Systeme und Netzwerke schützen können.
CitrixBleed. Was ist passiert?
Alles begann, als ein neuer Patch angekündigt wurde, um die per Fernzugriff ausnutzbare CitrixBleed-Schwachstelle zu beheben. Betrüger hatten sofort einen Überblick darüber, was sich mit dem Patch-Update geändert hatte, und konnten so all die Geräte verfolgen, die noch nicht aktualisiert wurden.
Es wird vermutet, dass vier Hauptgruppen an diesen Angriffen arbeiten, darunter die Ransomware-Bande Medusa und die in Russland ansässige Gruppe LockBit. Experten zufolge sind die Angriffe von relativ geringer Komplexität. Sie sind leicht zu starten, bringen aber den kriminellen Banden große Gewinne ein. Einige von ihnen geben an, bereits Lösegeld erhalten zu haben.
Die Einheit 42 von Palo Alto berichtet: „... unsere Forscher beobachteten fast 8.000 IP-Adressen, die für eine anfällige Version von NetScaler Gateway warben, und 6.000 IP-Adressen, die für NetScaler ADC-Geräte warben. Die größte Anzahl (3.100) dieser Geräte befindet sich in den Vereinigten Staaten, 800 in Deutschland, 450 in China und 400 im Vereinigten Königreich.“
Was sind die Auswirkungen der CitrixBleed-Angriffe?
Es gab mehrere erfolgreiche Angriffe auf CVE 2023 4966, die in allen Fällen zur vollständigen Übernahme legitimer Benutzersitzungen auf NetScaler ADC und anderen Gateway-Appliances führten. Ähnlich wie ein Der Widersacher in der Mitte (AiTM) Bei einem Angriff verwendeten Hacker Sitzungscookies (vorauthentifizierte Token), um die Verwendung von Passwörtern und den Prozess der Multifaktor-Authentifizierung (MFA) zu umgehen.
Laut Mandiant, zu den von ihnen identifizierten Taktiken, Techniken und Verfahren (TTP) nach der Ausbeutung gehörten:
- Host- und Netzwerkerkennung
- Sammlung von Umweltzertifikationen
- Seitliche Bewegung über das Remote-Desktop-Protokoll (RDP)
- Active Directory-Erkennung
Mandiant weist auch auf die Herausforderungen hin, die mit der Anzahl der auf NetScaler verfügbaren Protokolle verbunden sind, was die Untersuchung erschwert:
Auf wen hat sich die CitrixBleed-Exploitation ausgewirkt?
Unter den 20.000 betroffenen Nutzern gibt es Opfer aus allen Branchen und einige bedeutende Namen.
Die kriminelle Bande LockBit behauptet, sich in die US-Filiale der Industrial and Commercial Bank of China (ICBC) gehackt zu haben und von der Organisation ein Lösegeld erhalten zu haben, da durch ihren Angriff eine akute Störung verursacht wurde, die die Bank daran hinderte, Gelder abzuwickeln. Dies muss von der Bank noch bestätigt werden, obwohl sie den Verstoß einräumt. ICBC sind nicht allein. Zu den anderen betroffenen Unternehmen gehören Organisationen wie Boeing, DP World, Allen & Overy.
Schadensbegrenzung und Lösungen
- Das allererste, was jedes Unternehmen tun sollte, wenn es die allgegenwärtigen Gateways nutzt, ist den Patch zu installieren! Es sind mehrere Appliances betroffen.
- Als Nächstes werden Anmeldeinformationen für Identitäten gesperrt, die über den anfälligen NetScaler ADC oder Gateway Zugriff auf Ressourcen haben.
Laut dem Update von Mandiant „sollten Unternehmen die Rotation der Anmeldeinformationen für einen größeren Umfang von Identitäten priorisieren, wenn der Fernzugriff mit Single Factor Authentication (SFA) für alle Ressourcen aus dem Internet zulässig ist.“
Hier macht AuthN von IDEE einen entscheidenden Unterschied. Es schützt den Fernzugriff genauso wie andere Zugriffskanäle mit höchster Sicherheit Phishing-sicheres MFA. Nach einer Sicherheitsverletzung ist keine Rotation der Anmeldeinformationen erforderlich, da ein Angreifer keine Zugangsdaten stehlen kann.
Um zu überprüfen, ob Ihre Hardware betroffen ist, und weitere Informationen dazu, was zu tun ist, finden Sie unter:
https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966
https://www.cisa.gov/guidance-addressing-citrix-netscaler-adc-and-gateway-vulnerability-cve-2023-4966-citrix-bleed
Weitere Informationen darüber, wie AuthN by IDEE Ihrem Unternehmen helfen kann, bitte wenden Sie sich an. Sie können auch auschecken Phishing-geschütztes Whitepaper Dies erklärt die AuthN-Architektur und erklärt, warum und wie AuthN ein phishingsicheres MFA ist, das ohne zusätzliche Agenten bereitgestellt werden kann und Benutzern die Möglichkeit bietet, sich einfach auf einem einzigen Gerät zu authentifizieren.