Κυριακή, 5 Απριλίου, 16:35
Αρχική security Hackers κλείνουν την τρύπα ασφαλείας του Shitrix για όλους εκτός από τους...

Hackers κλείνουν την τρύπα ασφαλείας του Shitrix για όλους εκτός από τους εαυτούς τους

Λίγο πριν από μια εβδομάδα, αποκαλύφθηκε ότι οι hackers εκμεταλλεύονταν μια ευπάθεια για να θέσουν σε κίνδυνο τις πύλες VPN που χρησιμοποιούνται από πολλές επιχειρήσεις παγκοσμίως.

Η ευπάθεια, που είναι επίσημα γνωστή ως CVE-2019-19781 αλλά ανεπίσημα ονομάζεται “Shitrix”, βρέθηκε στους servers Citrix Application Delivery Controller και Citrix Gateway (γνωστός ως Netscaler ADC και Netscaler Gateway αντίστοιχα) αλλά μέχρι στιγμής η Citrix δεν έχει κυκλοφορήσει ακόμη ένα patch.

hackers

Λοιπόν, υπάρχουν καλά νέα και κακά νέα.

Πρώτα τα καλά νέα:

Οι hackers εκμεταλλεύονται το ελάττωμα Shitrix για να αποκτήσουν πρόσβαση σε ευπαθείς servers, να καθαρίσουν τις γνωστές malware μολύνσεις (όπως cryptocurrency mining code) για λογαριασμό σας και να εφαρμόσουν τα συνιστώμενα μέτρα μετριασμού της Citrix για να εμποδίσουν τις μελλοντικές προσπάθειες εκμετάλλευσης του exploit.

Λοιπόν, αυτό ακούγεται κάπως, έτσι δεν είναι;

Έτσι, εδώ είναι τα κακά νέα:

Όπως περιγράφουν οι ερευνητές της FireEye, ο κώδικας μετριασμού που εκτελείται από την ομάδα hacking για την προστασία των server Citrix από περαιτέρω εκμετάλλευση περιέχει ένα μυστικό backdoor.

Εν ολίγοις, οι hackers έχουν κλειδώσει άλλους hacker από τους ευάλωτους servers – αλλά όχι τους εαυτούς τους.

Η ομάδα της FireEye έχει μεταγλωττίσει το προηγούμενο payload που εγκατέστησαν οι hackers, NOTROBIN.

“Το FireEye πιστεύει ότι οι hackers αναπτύσσουν το NOTROBIN για να εμποδίσουν την εκμετάλλευση της ευπάθειας του CVE-2019-19781, διατηρώντας παράλληλα πρόσβαση backdoor σε συμβιβασμένες συσκευές NetScaler. Ο μετριασμός λειτουργεί με τη διαγραφή του σταδιακού κώδικα exploit που βρέθηκε μέσα στα πρότυπα NetScaler προτού να μπορέσει να χρησιμοποιηθεί. Ωστόσο, όταν ο hacker παρέχει το hardcoded κλειδί κατά την επακόλουθη εκμετάλλευση, το NOTROBIN δεν αφαιρεί το payload. Αυτό επιτρέπει στον hacker να ανακτήσει πάλι πρόσβαση στην ευάλωτη συσκευή αργότερα. ”

“Σε πολλές έρευνες, η FireEye παρακολούθησε τους hackers που αναπτύσσουν το NOTROBIN με μοναδικά κλειδιά. Για παράδειγμα, έχουμε ανακτήσει περίπου 100 κλειδιά από διαφορετικά δυαδικά αρχεία. Αυτά μοιάζουν με MD5 hashes, αν και το FireEye απέτυχε να ανακτήσει οποιοδήποτε απλό κείμενο. Η χρήση σύνθετων, μοναδικών κλειδιών καθιστά δύσκολο για τρίτους, όπως ανταγωνιστικούς εισβολείς ή FireEye, να ανιχνεύσουν εύκολα συσκευές NetScaler “προστατευμένες” από τη NOTROBIN. Αυτός ο hacker ακολουθεί μια ισχυρή πολιτική κωδικού πρόσβασης! ”

Το NOTROBIN μπορεί να ενοφθαλμίσει με επιτυχία τις ευάλωτες συσκευές από τις επιθέσεις Shitrix, αλλά επίσης να ανοίξει αυτές τις συσκευές σε μελλοντικές εκστρατείες για εγκληματικές δραστηριότητες στον κυβερνοχώρο. Αυτό δεν μοιάζει πολύ με τη συμπεριφορά του “Robin Hood” σε μένα.

Είναι πάντα καλύτερο να υπερασπίζεστε τα συστήματά σας μόνοι σας ή να έχετε κάποιον που εμπιστεύεστε να το κάνει για εσάς, αντί να έχετε μια άγνωστη συμμορία από hacker για να καθαρίσει το χάος. Εξάλλου, δεν μπορείτε να είστε σίγουροι ότι δεν θα έχουν υποκείμενα κίνητρα.

Η Citrix έχει υποσχεθεί ενημερώσεις firmware για τα ευάλωτα συστήματα έως το τέλος του μήνα.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Πώς μπορείτε να συνδέσετε ένα μικρόφωνο στο MacBook σας;

Πολλοί άνθρωποι που ξαφνικά πρέπει να πραγματοποιούν βιντεοκλήσεις ή τηλεδιασκέψεις, είτε για την δουλειά τους είτε για online μαθήματα, έρχονται καθημερινά αντιμέτωποι...

COVID-19: Οργανισμοί ανθρωπίνων δικαιωμάτων προειδοποιούν τις κυβερνήσεις που παρακολουθούν πολίτες

Ο COVID-19 έχει αναγκάσει πολλές κυβερνήσεις να πάρουν ακραία μέτρα, όπως να παρακολουθούν τους πολίτες. Περίπου 110...

Απομακρυσμένη εργασία: Πώς μπορούν να “επιβιώσουν” οι επιχειρήσεις;

Η απομακρυσμένη εργασία είναι μία πολιτική που ακολουθούν επιχειρήσεις όλων των μεγεθών ενόψει της πανδημίας του Κορωνοϊού. Τις τελευταίες εβδομάδες έχει σημειωθεί...

Samsung: Δωρεά αξίας $ 29 εκατομμυρίων για την μάχη ενάντια στον κορωνοϊό

Η Samsung Electronics προχώρησε σε μια δωρεά αξίας $ 29 εκατομμυρίων σε κυβερνήσεις και κοινότητες που έχουν...

Με παρακολουθεί το αφεντικό μου όσο εργάζομαι από το σπίτι;

Με παρακολουθεί το αφεντικό μου όσο εργάζομαι από το σπίτι; Έχετε αναρωτηθεί αν αυτές τις μέρες -λόγω πανδημίας η πλειοψηφία εργάζεται από...

Επιθέσεις Ransomware και DDoS: Οι κυβερνοεγκληματίες εντείνουν τις δραστηριότητές τους εν μέσω του κορωνοϊού

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τις ανησυχίες γύρω από την επιδημία του κορωνοϊού σε μια προσπάθεια μεγιστοποίησης του αντίκτυπου των επιθέσεων...

Ερευνητές προτείνουν μέθοδο παρακολούθησης του κορωνοϊού μέσω των smartphone

Καθώς ο COVID-19 συνεχίζει να εξαπλώνεται, οι ερευνητικές ομάδες σε ολόκληρο τον κόσμο χρησιμοποιούν το χρόνο και τις δεξιότητές τους για να...

Το μήνυμα της Zoom προς τους πελάτες της για τα θέματα ασφαλείας

Μετά την πρόσφατη ανακάλυψη των κενών ασφαλείας στην εφαρμογή Zoom, η εταιρεία δημοσίευσε μία επίσημη απάντηση προς...

Cache: Κρυμμένα αρχεία στην προσωρινή μνήμη επιβραδύνουν το Google Chrome

Το Google Chrome ανήκει στην κατηγορία των πιο δημοφιλών browsers και χρησιμοποιείται από μεγάλο ποσοστό χρηστών. Ωστόσο, έχει ένα σημαντικό αρνητικό χαρακτηριστικό...

Πώς να συνδέσω και να ρυθμίσω ακουστικά στο Windows 10 PC;

Τα ακουστικά είναι ένα πολύ χρήσιμο εργαλείο επικοινωνίας, ιδιαίτερα αυτή την περίοδο, που οι περισσότεροι εργαζόμαστε από...