Önceden tehdit aktörleri tarafından sıfır gün olarak istismar edilen kimliği doğrulanmamış kritik bir RCE hatası nedeniyle, binlerce Citrix Netscaler ADC ve Ağ Geçidi sunucusu açığa çıktı.
Tehdit aktörleri, Haziran 2023’te bu sıfır günlük güvenlik açığından yararlanarak kritik bir altyapı kuruluşunun NetScaler ADC’sine bir web kabuğu yerleştirerek AD verilerinin çalınmasına yol açtı.
Ancak bu noktada cihaz üzerinde etkin ağ segmentasyon kontrolleri yapılarak tehdit aktörlerinin etki alanı denetleyicisine yanal hareketi engellendi.
Shadowserver Foundation’daki siber güvenlik araştırmacıları, yakın zamanda 15.000’den fazla Critix sunucusunun, CVE-2023-3519 olarak izlenen bu kritik kod enjeksiyon saldırısına karşı savunmasız olduğunu ortaya çıkardı ve sadece bu da değil, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bile bir Siber Güvenlik Danışma Belgesi (CSA) yayınladı.
Kusur Profili
- CVE Kimliği: CVE-2023-3519
- Açıklama: Kimliği doğrulanmamış uzaktan kod yürütme
- CWE: CWE-94
- CVSS Puanı: 9.8
- Ön koşul: Cihaz, bir Ağ Geçidi (VPN sanal sunucu, ICA Proxy, CVPN, RDP Proxy) veya AAA sanal sunucu olarak yapılandırılmalıdır
NetScaler ADC ve NetScaler Gateway’in Etkilenen Sürümleri
Aşağıda, NetScaler ADC ve NetScaler Gateway’in etkilenen tüm sürümlerinden bahsettik:-
- 13.1-49.13 öncesi NetScaler ADC ve NetScaler Gateway 13.1
- 13.0-91.13 öncesi NetScaler ADC ve NetScaler Gateway 13.0
- NetScaler ADC ve NetScaler Gateway sürüm 12.1, kullanımdan kaldırıldı
- 13.1-37.159 öncesi NetScaler ADC 13.1-FIPS
- 12.1-65.36 öncesi NetScaler ADC 12.1-FIPS
- 12.65.36 öncesi NetScaler ADC 12.1-NDcPP
Sömürü ve Yama
18 Temmuz’da Citrix, azaltılmamış cihazlardaki güvenlik açıklarını gözlemledikten sonra RCE güvenlik açığı (CVE-2023-3519) için acilen yama yüklemesini gerektiren güvenlik güncellemeleri yayınladı.
Citrix ADC için sıfır günlük RCE (CVE-2023-3519), bir tehdit aktörünün bir bilgisayar korsanı veya karanlık web forumunda reklamını yaptığı Temmuz ayı başlarından itibaren muhtemelen çevrimiçi olarak dolaşıyordu.
Bunun yanı sıra Citrix, aynı gün içinde CVE-2023-3466 ve CVE-2023-3467 olarak takip edilen ve biri XSS saldırılarına olanak tanıyan, diğeri ise kök izinleri veren diğer iki yüksek önem dereceli kusuru da ele aldı.
Etkisi daha büyük olan ikinci kusur, savunmasız cihazların yönetim arabirimine IP (NSIP) veya Alt Ağ IP’si (SNIP) aracılığıyla kimliği doğrulanmış erişim gerektirir.
CISA’dan gelen son emir, ABD federal kurumlarının, kritik bir altyapı kuruluşunun sistemlerini ihlal etmek için güvenlik açığından yararlanılmasının ardından 9 Ağustos’a kadar Citrix sunucularını devam eden saldırılara karşı derhal korumasını zorunlu kılar.
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.