Bir saldırganın, kalıcı erişim elde etmek için CVE-2023-3519 kusurundan yararlanarak duyarlı Citrix NetScalers’a web kabukları yüklediği keşfedildi.
Bu kritik sıfır gün güvenlik açığı, hem NetScaler ADC’de hem de NetScaler Gateway’de uzaktan kod yürütmeye (RCE) olanak sağlayabildiği için önemli bir risk oluşturuyor.
Bu güvenlik açığından yararlanan kötü niyetli aktörler, bir kuruluşun kritik altyapısına web kabukları yerleştirmeyi başardı.
Bir NetScaler’a yama uygulandıktan ve/veya yeniden başlatıldıktan sonra bile, saldırgan bu web kabuğunu kullanarak rasgele komutlar çalıştırabilir.
Fox-IT’ye (NCC Group’un bir parçası) göre, Hollanda Güvenlik Açığı Açıklama Enstitüsü (DIVD) ile ortak bir çabayla, 1900’den fazla NetScaler’ın hala arka kapıda olduğunu bildiriyor.
Arka Kapılarla NetScaler’ları Algılama
Bulgulara göre, saldırgan büyük ölçekte otomatikleştirilmiş bir istismar gerçekleştirmiştir. Tanımlanan web kabukları bir 404 Bulunamadı döndürse de, yanıt, Citrix sunucularının var olmayan bir dosya talebine tipik olarak tepki verme şeklinden hala farklıdır.
Ayrıca, doğru bağımsız değişkenler sağlanmadıkça, web kabuğu hedef sistemde herhangi bir komut çalıştırmaz.
Fox-IT, “Arka kapı içeren NetScaler’ların yaklaşık %69’u artık CVE-2023-3519’a karşı savunmasız değil” diyor.
“Bu, çoğu yöneticinin güvenlik açığından haberdar olmasına ve o zamandan beri NetScaler’larını güvenlik açığı olmayan bir sürüme yamalamasına rağmen, başarılı bir istismar belirtileri için (düzgün bir şekilde) kontrol edilmediklerini gösteriyor.”
Yamalar uygulanırken 20 Temmuz ile 21 Temmuz arasında geniş çaplı bir istismar gerçekleşti.
1952 farklı NetScalers arasında toplam 2491 web kabuğu keşfedildi. 21 Temmuz’da dünya çapında 31127 NetScaler CVE-2023-3519’a duyarlıydı, bu da istismar çabasının savunmasız tüm NetScaler’ların %6,3’ünü etkilediğini gösteriyor.
Savunmasız NetScaler’ların büyük çoğunluğu Avrupa’da bulunuyor. Etkilenen ilk 10 ülkeden sadece ikisi Avrupa dışında. Ayrıca, hedeflenen belirli bir endüstri yoktur.
Öneri
Dolayısıyla bu, Citrix sunucuları yükseltildiğinde bile arka kapıların çalışmaya devam edebileceğini vurgular.
Bu nedenle, her NetScaler yöneticisinin NetScaler’ları için temel bir değerlendirme yapması önerilir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.