Citrix Bleed og gamle Exchange servere. De eksisterer og blir misbrukt fortsatt, i store antall. Derfor må man anta at man fortsatt er sårbar, i tillegg til alle andre systemer man har, som man kanskje ikke har god kontroll på, og som er utdaterte eller på annen måte sårbare.
I denne artikkelen fra 4. desember beskrives misbruk av en sårbarhet fra mars 2023.
“Russian hackers exploiting Outlook bug to hijack Exchange accounts”
Den største banken i Kina, ICBC, og Boeing har nylig blitt rammet av ransomware av LockBit. Citrix Bleed var sentralt i muligheten for hendelsen.
I denne artikkelen fortelles det om LockBit hendelsen hos Boeing. “LockBit ransomware leaks gigabytes of Boeing data”
I denne artikkelen snakkes det om alle gamle og sårbare Exchange servere som fortsatt eksisterer på internett. “Over 20,000 vulnerable Microsoft Exchange servers exposed to attacks” 20231202
US Health Dept urges hospitals to patch critical Citrix Bleed bug 20231202
Citrix warns admins to kill NetScaler user sessions to block hackers 20231121
Citrix Bleed lever i beste velgående der ute, og patching er fortsatt kritisk, men også tiltak etter patching som å logge ut aktive sesjoner samt fjerne mistenkelige brukerkontoer.
Besides applying the necessary security updates, they’re also advised to wipe all previous user sessions and terminate all active ones.
Anta at du er sårbar og at sårbarhetene misbrukes
Om målet til de uvedkommende er profitt eller datastjeling for større hensikter, spiller på en måte ingen rolle, da begge deler er meget uønsket. Ønsker de å bruke krypteringvirus for å presse dere for penger? Ønsker de å stjele data for å presse dere for penger? Ønsker de å gå under radaren for å ikke bli oppdaget mens de stjeler sensitiv informasjon om systemer, mennesker eller nasjoner? Det viktigste er å gjøre det så vanskelig som mulig for dem å lykkes.
Patching og passord… Joda.
Vi har hørt det i mange år, og det gjelder fortsatt, men det er en katt og mus lek. Dette er øvelser som kontinuerlig må vedlikeholdes. Sårbarhetene kommer på løpende bånd, og man må regne med å patche systemer nærmest ukentlig, og da er spørsmålet om man rekker å patche før sårbarheten blir misbrukt.
Brukernavn og passord kommer på avveie. Det er mange kontoer for mange systemer, både egne ansatte, men også eksterne brukere. Er det multi faktor autentisering på alle disse kontoene? Det er viktig for sikkerheten å anta at brukernavn og passord er på avveie. Selv med MFA må man anta at uvedkommende kan komme seg inn slik de gjorde hos NRK. Her er et par artikler om det.
Anta innbrudd
Anta av sårbarheter misbrukes. Anta at brukerkontoer misbrukes. Anta kompromittering. Anta at uvedkommende er innenfor barrierene.
Gjør proaktive og preventive tiltak.
Eget datasenter, IaaS, SaaS. Husk at skyen er usikker
“Innenfor” barrierene kan bety så mangt ettersom hvor man er. I SaaS er dette en ting, mens i eget datasenter er det litt annerledes. Det viktigste er å anta at uvedkommende er inne, slik de var inne i e-post systemet hos NRK, eller inn i datasenteret slik de har vært hos altfor mange de siste årene.
Segmentering
I eget datasenter, men også i skyen når man kjører IaaS med Azure, AWS eller GCP. Segmenter tjenestene basert på risiko. Med segmentering får man bedre visibilitet og kontroll på kommunikasjon (Least Privilege), og dermed bedre sikkerhet. Dette er tiltak som ikke krever ny teknologi, men bare planlegging og implementering.
Når uvedkommende utnytter en sårbarhet på et produkt, som f.eks Citrix eller Exchange, er det ikke sikkert de er i mål med hvor de vil, og da er det som regel ønskelig for dem å bevege seg videre til andre systemer. Om man gjør interne systemer mer robuste mtp tilgang kan dette være nok til å “ødelegge” angrepet.
MFA internt
Når uvedkommende har misbrukt en sårbarhet og kommet seg på “innsiden” vil bevegelse til andre systemer ofte være meget nødvendig for å oppnå deres mål. Fordi mennesker i alle år har bygd systemer og sikkerhet som skal holde uvedkommende ute, er ofte ikke interne systemer tilstrekkelig “hardnet” med patching og tilgangskontroll inkludert MFA. Mennesket er derfor den absolutt viktigste faktoren for å oppnå god sikkerhet, da mennesker må anta, og dermed implementere større grad av segmentering, patching og bedre tilgangskontroll inkludert MFA.
RDP er kjent som en av de primære metodene å bevege seg med, og derfor er det meget viktig å sikre at MFA er aktivert for all RDP aktivitet.
VG testen
Å begrense hva som er mulig for en server å gjøre mot internett er veldig viktig for å redusere sannsynligheten for fatal skade. Se her for mer informasjon. En av de første tingene angripere gjør etter en sårbarhet er utnyttet, er å etablere en bakdør for å ha tilgang selv etter sårbarheten er patchet. Derfor er det veldig viktig å redusere hva systemer kan gjøre mot internett.
Logging med overvåking, fordi suksessfulle hendelser skjer i tillatt trafikk
Suksessfulle hendelser skjer i tillatt trafikk. Slik er det bare. Derfor er det veldig viktig å logge alt som skjer i nettopp tillatt trafikk, både i nettverket med brannmuren, på endepunktene med endepunktsikkerhet inneholdende EDR, samt i applikasjoner (inkludert SaaS) og systemer. Sikrer man at dette samles i en sikker løsning som “overlever” en hendelse, samtidig som at noen overvåker og reagerer (kan være en moderne maskinløsning), så reduseres sannsynligheten for en skadelig hendelse dramatisk
Konklusjon
Enda en gang ser man gamle sårbarheter bli utnyttet på systemer som ikke er oppdatert. Fortsett patchingen. Etabler så mye automasjon for oppdatering som mulig for på den måten å kunne patche så raskt og effektivt som mulig. Anta allikevel at ting ikke er skikkelig på plass.
Men enda viktigere er å gjøre proaktive tiltak som gjør dere mer robuste mot fremtidige sårbarheter. Start jobben nå. De fleste tiltak er fullstendig gratis (kan gjøres med eksisterende teknologi) og mange av dem krever meget lite innsats, som f.eks aktivering av MFA for RDP.
Leave a Reply