In der letzten Woche wurde eine koordinierte Erkennungskampagne entdeckt, die auf die Citrix NetScaler-Infrastruktur (auch bekannt als Citrix ADC) abzielte. Laut der von GreyNoise veröffentlichten Analyse wurden die Scans zwischen dem 28. Januar und dem 2. Februar durchgeführt und nutzten eine Flut von IP-Adressen, um sichtbare Authentifizierungsfelder zu lokalisieren und Informationen über Produktversionen zu sammeln, die auf eine Mapping-Arbeit vor einer möglichen Ausbeutung hinweisen.
Die Zahlen von GreyNoise sind auffällig: Mehr als 63.000 verschiedene IP-Adressen starteten 111.834 Umfragesitzungen und etwa 79% des beobachteten Verkehrs attackierten die Lures (Honeypots) von Citrix Gateway. Von diesem Volumen kamen etwa 64 % aus Wohn-Proxien, Adressen, die scheinbar den Verbrauchern von ISP-Betreibern entsprechen und dass durch ihr Aussehen leicht entschlüsseln Filter auf Ansehen. Die restlichen 36% der Aktivität stammten aus einer einzigen IP, die in Microsoft Azure gehostet wurde.
Die Muster des Angriffs sehen nicht wie eine zufällige Kehre aus. Zunächst konzentrierte sich die überwiegende Mehrheit der Sitzungen auf die Identifizierung von Remote Access Interfaces durch Anfragen an / Anmeldung / LogonPoint / index.html, die typische Route des Citrix Authentifizierungspanels. Dieses Massen- und wiederholte Verhalten bietet ein besonderes Interesse an der Ortung großflächiger freiliegender Portale. Parallel wurde am 1. Februar ein intensiver "Sprint" von etwa sechs Stunden beobachtet, bei dem ein Dutzend PIs fast 1.900 Sitzungen auf der Suche nach dem Endpoint Analysis Installer ins Leben gerufen haben. / epa / Scripte / win / nsé _ setup.exe, die einen Versuch zeigt, schnell zu identifizieren, welche Versionen von Citrix vorhanden sind und ob sie Artefakte enthalten, die ihre Version melden.
Ein weiteres relevantes Zeichen ist der Druck des Benutzers: GreyNoise beobachtete Ketten, die imitierten die Chrome 50 Browser, eine alte Version veröffentlicht 2016. Solche veralteten Browser-Drucke und die massive Verwendung von Wohn-Proxies sind häufige Techniken, um die Erkennung schwierig zu machen und Kontrollen zu vermeiden, die IP-Adressen mit schlechtem Ruf blockieren.
Warum ist diese Art von Anerkennung eine Sorge? Denn wenn ein Angreifer eine Plattform und seine Versionen genau abbildet, kann er bestimmte Exploits gegen bekannte Schwachstellen vorbereiten. Im Falle von Citrix sind in den letzten Monaten kritische Schwerkraftausfälle aufgetreten und in der Vergangenheit ausgebeutet worden; die Erfassung von Erhebungen, die auf die Identifizierung von Versionen und Routen von EPA abzielen, erweckt Alarme über die Möglichkeit eines gezielten Angriffs. Um dem ursprünglichen Bericht und seinen technischen Indikatoren zu folgen, veröffentlichte GreyNoise hier seine vollständige Analyse: labs.greynoise.io - Grau Lärmbericht.
Die Empfehlungen, die sich aus solchen Erkenntnissen ergeben, sind praktisch und reichen von der Prävention bis zur Früherkennung. Unter den von den Forschern empfohlenen Maßnahmen werden Anwendungen mit verdächtigen Anwendern (z.B. Ketten im Zusammenhang mit "Blackbox-Exporter") überwacht, wenn sie aus nicht autorisierten Ursprüngen stammen und Alarme für externen Zugriff auf / epa / Scripte / win / nsé _ setup.exe und schnelle Listenmuster gegen Anmelderouten wie / Anmeldung / LogonPoint /. Sie empfehlen auch, HEAD-Anfragen für Citrix Gateway-Endpunkte zu überwachen und auf veraltete Browser-Drucke zu achten, die nicht dem erwarteten Profil von legitimen Nutzern entsprechen.
Auf der Ebene der Konfiguration und der Aushärtung beinhalten praktische Tipps, ob es wirklich notwendig ist, Citrix Gehwege direkt im Internet zu entlarven und den Zugriff auf das Verzeichnis einzuschränken. / epa / Scripte / nur zu verwalteten Netzwerken, zu löschen oder zu reduzieren Versionsinformationen, die Server zu HTTP-Antworten zurückgeben und ungewöhnliche Aktivität von Wohn-ISPs in Regionen überwachen, in denen die Organisation keine Benutzer hat. GreyNoise hat auch die für Sicherheitsteams identifizierten IP-Adressen zur Überprüfung ihrer eigenen Datensätze bereitgestellt.
Wenn Sie Citrix Gehwege verwalten oder Umgebungen verwalten, die von Citrix ADC abhängen, empfiehlt es sich, regelmäßig die eigenen Sicherheitskommunikationen und Listen bekannter Sicherheitslücken des Herstellers zu konsultieren. Citrix unterhält eine Seite, die Sicherheitswarnungen und Updates gewidmet ist, in denen offizielle Patches und Minderungen veröffentlicht werden: Unterstützung.citrix.com - Citrix Security. Darüber hinaus verfolgen Einrichtungen, die Schwachstellen auf dem Gebiet, wie die US-Infrastruktur und Cybersecurity-Agentur. Sie liefern Kataloge und Warnungen, die helfen, kritische Patches zu priorisieren: CISA - Known Exploited Vulnerabilities Catalog.
Welches Lernen verlässt diese Kampagne? Die Lektion ist doppelt: Zum einen verfeinern Angreifer ihre Techniken, um zu vermeiden, mit einfachen Filtern des Rufes blockiert zu werden; zum anderen zeigt die massive und geordnete Aufzählung von konkreten Routen und Artefakten Absichten, die über bloße zufällige Umfrage hinausgehen. Für Sicherheitsausrüstungen, die eine Erhöhung der Telemetrie über den Zugang zu Verbindungstüren, die Abstimmung von Korrelationsregeln, die Bursts von ähnlichen Anfragen erkennen und schützen, indem das wesentliche Minimum nach außen.
Am Ende geht es nicht nur darum, zu reagieren, wenn eine öffentliche Ausbeutung auftritt, sondern um die bisherige Kartierung zu erkennen und zu bremsen, die diesen Angriffen oft vorausgeht. Die Aufrechterhaltung von Stanzsystemen, die Begrenzung der kritischen Service-Exposition und Warnungen, die Erkennungsmuster erkennen, sind einfache, aber effektive Maßnahmen, um die Kosten für zukünftige Angriffe zu erhöhen und die Wahrscheinlichkeit zu reduzieren, das nächste Ziel zu sein.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...