Citrix NetScaler ADC/Gateway cihazlarını etkileyen kritik bir bilgi ifşaat güvenlik açığı olan “Citrix Bleed” olarak da bilinen CVE-2023-4966, tehdit aktörleri tarafından büyük ölçüde istismar ediliyor.
Güvenlik araştırmacısına göre Kevin Beaumont’un Siber güvenlik sektörü kaynaklarına göre, bir fidye yazılımı grubu, saldırı zincirini otomatikleştirmek için operatörlerine bir Python betiği dağıttı ve diğer gruplar da çalışan bir açıktan yararlanmaya başladı.
CVE-2023-4966’dan yararlanıldı
Geçmişte Citrix NetScaler ADC’de güvenlik açıkları vardı ve bu güvenlik açığı elbette bir istisna değil.
CVE-2023-4966, saldırganların internete yönelik savunmasız Netscaler cihazlarının belleğinden geçerli oturum belirteçlerini ele geçirmesine olanak tanıyan, uzaktan ve kolayca yararlanılabilen bir güvenlik açığıdır. Güvenliği ihlal edilen oturum belirteçleri daha sonra aktif oturumları ele geçirmek, yani kimlik doğrulamayı (hatta çok faktörlü kimlik doğrulamayı bile) etkili bir şekilde atlamak ve cihaza sınırsız erişim sağlamak için kullanılabilir.
Citrix, 10 Ekim’de güvenlik güncellemelerine işaret eden ve müşterileri bunları hızlı bir şekilde uygulamaya teşvik eden ilgili bir güvenlik danışma belgesi yayınladı.
Bir hafta sonra Mandiant araştırmacıları açıklığa kavuşmuş güvenlik açığının, saldırganlar tarafından Ağustos 2023’ün sonlarından bu yana profesyonel hizmetlere, teknolojiye ve devlet kuruluşlarına saldırmak için sıfır gün olarak kullanıldığı belirtiliyor.
Mandiant, savunmasız cihazları güncellemenin saldırganları bu cihazlardan başlatmak için yeterli olmadığına dikkat çekti; yöneticilere tüm aktif oturumları sonlandırmasını ve saldırganların arkasında web kabukları veya arka kapılar bırakıp bırakmadığını kontrol etmelerini tavsiye etti.
Cihazlarınızın güvenliğinin ihlal edilip edilmediğini öğrenme
Mandiant araştırmacıları, “Mevcut günlük kayıtlarının veya istismar faaliyetinin diğer eserlerinin bulunmaması nedeniyle, bir önlem olarak kuruluşlar, savunmasız bir NetScaler ADC veya Gateway cihazı aracılığıyla kaynaklara erişim için sağlanan kimlikler için kimlik bilgilerini döndürmeyi düşünmelidir.” kayıt edilmiş.
Ancak daha yaygın saldırılar gerçekleşmeye başladığından beri (Assetnote araştırmacıları bir rapor yayınladıktan sonra) kavram kanıtı istismar komut dosyası 25 Ekim), web erişim kayıtlarına uzlaşmaya işaret edebilecek bazı şeyler kaydediliyor.
“Tehdit aktörlerinin çoğu, çalınan oturum anahtarlarını daha sonra gönderen bir Python betiği kullanıyor. /logon/LogonPoint/Kimlik Doğrulama/GetUserName — yani trafiği göreceksiniz,” diye belirtti Beaumont.
“Eğer şu trafiği görürseniz [120+ attack IPs documented by GreyNoise] oturum belirteçlerini en kısa sürede geçersiz kılmak isteyebilirsiniz.