O CTIR Gov recebeu informações cruciais de parceiros internacionais sobre recentes explorações da vulnerabilidade CVE-2023-4966, também conhecida como "Citrix Bleed". Essa vulnerabilidade impacta os produtos NetScaler ADC e NetScaler Gateway.
Agentes adversos que empregam ransomware, um software malicioso projetado para criptografar dados e exigir resgate financeiro, podem utilizar a exploração dessa vulnerabilidade. Além da criptografia, ocorre a exfiltração de dados sensíveis, caracterizando um processo de dupla extorsão. Essa exploração atua como um vetor para o objetivo principal da ameaça, marcando-a como a fase inicial na cadeia de ataques.
"Com código de exploração de prova de conceito disponível publicamente, vários agentes de ameaças têm aproveitado essa falha como parte de seus ataques nas últimas semanas, incluindo afiliados do infame grupo de ransomware LockBit e Medusa. Os grupos de ransomware são, em sua maioria, indiscriminados em seus ataques, motivados mais pelo lucro do que por qualquer outra coisa. As organizações que usam os produtos Netscaler ADC e Gateway devem priorizar a correção imediata desses sistemas, pois a ameaça de exploração é extremamente alta, especialmente por grupos de ransomware", afirma Satnam Narang, engenheiro sênior de Pesquisa da Tenable.
Além da ação imediata acima, como boas práticas e medidas de higienização cibernética, o CTIR Gov recomenda:
- Verificar se seus sistemas estão vulneráveis à CVEs conhecidas, em particular à CVE-2023-4966, tomando as medidas de mitigação ou corretivas, conforme necessário;
- Rever os logs de tráfego de rede em busca de atividades relacionadas ao endereços IPs com trafego HTTP;
- Observar e investigar atividades anômalas de usuários, como a introdução de ferramentas suspeitas nos sistemas, a criação de novas contas, eventos de varredura tipo "5140(S, F) compartilhamento de rede foi acessado", ou a execução de comandos suspeitos;
- Manter um alto grau de monitoramento e prontidão, particularmente quanto a análise de logs de mudanças de IP e logins de geolocalizações suspeitas;
- Manter os sistemas operacionais e aplicativos dos processos críticos ao negócio do órgão sempre atualizados;
- Utilizar usuários administradores diferentes dos gestores de domínios;
- Adotar e executar processo de gestão de vulnerabilidades em sua rede;
- Restringir e monitorar a utilização de serviços de acesso remoto, como RDP por exemplo;
- Limite a disponibilidade das ferramentas Rclone, dControl, Xcopy, Mimikatz, WinSCP, PsExec e Network Scanner;
- Adotar política de Senhas Fortes incentivando aos usuários a criar senhas complexas e exclusivas para suas contas. Além disso, é importante propor um segundo fator de autenticação;
- Utilizar ativos de segurança, em particular firewalls e antimalware, sempre atualizados para proteção contra ameaças, inclusive de endpoints;
- Implementar uma política de mínimo privilégio, permitindo aos usuários exercer ações na rede restritas ao desempenho de suas funções organizacionais;
- Realizar backups regulares de dados importantes, mantendo-os off-line, e testar a restauração para garantir a disponibilidade de informações em caso de incidente, particularmente com ransomware; e
- Ter um plano de prevenção, tratamento e resposta a incidentes em vigor, que inclua ações para conter, tratar e recuperar os ativos perante ataques ou violações de segurança.
