Recomendação
RECOMENDAÇÃO 16/2023
[TLP:CLEAR]
1. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recebeu de parceiros internacionais informações relevantes sobre explorações recentes da vulnerabilidade CVE-2023-4966, também conhecida como "Citrix Bleed". Detalhes sobre a vulnerabilidade estão disponíveis em:
2. A empresa Citrix publicou atualizações de segurança para solucionar a vulnerabilidade, considerada de alta severidade, que afeta os produtos NetScaler ADC e NetScaler Gateway, para tanto deve-se instalar as versões atualizadas do NetScaler ADC e NetScaler Gateway o mais rápido possível. Recomenda-se a observação dos links a seguir.
- https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
- https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/
3. A exploração da vulnerabilidade pode ser utilizada por agentes adversos que empregam o ransomware, software malicioso que visa criptografar os dados com o objetivo de exigir um resgate financeiro, além de exfiltrar dados sensíveis em um processo de dupla extorsão. A exploração dessa vulnerabilidade serve de vetor para o objetivo principal da ameaça, tornando-a a fase inicial da cadeia de ataque.
4. Diante do cenário exposto, o CTIR Gov solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que verifiquem no mapeamento de ativos do órgão ou entidade a existência dos produtos afetados e providenciando sua imediata atualização.
5. Além da ação imediata acima, como boas práticas e medidas de higienização cibernética, o CTIR Gov recomenda:
- Verificar se seus sistemas estão vulneráveis à CVEs conhecidas, em particular à CVE-2023-4966, tomando as medidas de mitigação ou corretivas, conforme necessário;
- Rever os logs de tráfego de rede em busca de atividades relacionadas ao endereços IPs com trafego HTTP;
- Observar e investigar atividades anômalas de usuários, como a introdução de ferramentas suspeitas nos sistemas, a criação de novas contas, eventos de varredura tipo “5140(S, F) compartilhamento de rede foi acessado”, ou a execução de comandos suspeitos;
- Manter um alto grau de monitoramento e prontidão, particularmente quanto a análise de logs de mudanças de IP e logins de geolocalizações suspeitas;
- Manter os sistemas operacionais e aplicativos dos processos críticos ao negócio do órgão sempre atualizados;
- Utilizar usuários administradores diferentes dos gestores de domínios;
- Adotar e executar processo de gestão de vulnerabilidades em sua rede;
- Restringir e monitorar a utilização de serviços de acesso remoto, como RDP por exemplo;
- Limite a disponibilidade das ferramentas Rclone, dControl, Xcopy, Mimikatz, WinSCP, PsExec e Network Scanner;
- Adotar política de Senhas Fortes incentivando aos usuários a criar senhas complexas e exclusivas para suas contas. Além disso, é importante propor um segundo fator de autenticação;
- Utilizar ativos de segurança, em particular firewalls e antimalware, sempre atualizados para proteção contra ameaças, inclusive de endpoints;
- Implementar uma política de mínimo privilégio, permitindo aos usuários exercer ações na rede restritas ao desempenho de suas funções organizacionais;
- Realizar backups regulares de dados importantes, mantendo-os off-line, e testar a restauração para garantir a disponibilidade de informações em caso de incidente, particularmente com ransomware; e
- Ter um plano de prevenção, tratamento e resposta a incidentes em vigor, que inclua ações para conter, tratar e recuperar os ativos perante ataques ou violações de segurança.
6. Outros Alertas e Recomendações emitidos pelo CTIR Gov podem ser consultados em:
7. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST):
Equipe CTIR Gov.
[TLP:CLEAR]