Birkaç tehdit grubu, Citrix ağ ürünlerindeki kritik bir güvenlik açığından aktif olarak yararlanıyor. Citrix’in NetScaler ADC ve NetScaler Gateway için bir yama yayınlamasından üç hafta sonra, araştırmacılar Web’de yaklaşık 7.000 örneğin açıkta kaldığını söylüyor. Bunlardan yaklaşık 460’ında, büyük olasılıkla uzlaşma nedeniyle Web kabukları kuruludur.
18 Temmuz’da bulut bilgi işlem şirketi Citrix, Citrix’in NetScaler uygulama teslim denetleyicisinde (ADC) kimliği doğrulanmamış uzaktan kod yürütülmesine (RCE) izin veren “Kritik” 9.8 CVSS puanlı sıfır gün güvenlik açığı olan CVE-2023-3519 için bir yama yayınladı. ve ağ geçidi ürünleri.
Yama yayınlandığından beri, bir dizi araştırmacı güvenlik açığından nasıl yararlanılabileceğini gösterdi. Ve nadiren bir fırsatı kaçırdıkları bilinen saldırganlar, kurumsal ağların içine yüzlerce web kabuğu yerleştirerek ve şimdiden düzinelerce açıktan yararlanarak kusurdan yararlanmak için atladılar.
Yine de, Shadowserver Foundation’dan alınan verilere göre, açığa çıkan binlerce NetScaler örneği bugün yamasız durumda ve birçok kuruluş, web kabukları yükleyen ve iç ağlarda istedikleri zaman komutlar yürüten saldırganların insafına kalmış durumda.
Shadowserver CEO’su Piotr Kijewski, “Citrix’in birçok önde gelen kuruluşta kullanıldığı düşünüldüğünde, bu karmaşık bir durum” diyor. “Bu tür önemli kurumlar olan hastaneler de dahil olmak üzere birkaç gün önce bile hala savunmasız durumda olan epeyce büyük isim gördük. Bu nedenle, birileri bundan bir ay sonra bu kuruluşlara fidye yazılımı ile saldırırsa potansiyel sonuçlar büyük olabilir.”
Saldırganlar Savunanlardan Daha Hızlı Hareket Eder
Zirvede, Shadowserver, NetScaler ADC ve Gateway IP’lerinin yaklaşık 18.000 açığa çıkmış, yama uygulanmamış örneğini izledi. Bu sayı istikrarlı bir şekilde düşüyor, ancak hızlı bir şekilde değil, çünkü bugün yaklaşık 7.000 kişi kaldı ve esas olarak Kuzey Amerika (2.794) ve Avrupa’da (2.670) bulunuyor.
Haftalar boyunca araştırmacılar, bu açıktaki ağ cihazlarını aktif olarak tehlikeye atan bilgisayar korsanlarının vakalarını belgelediler. İlk ifşadan sadece 10 gün sonra Shadowserver, NetScaler IP’lerinde kurulu yaklaşık 700 Web kabuğu keşfetti ve bunların CVE-2023-3159 güvenlik ihlali örnekleriyle ilişkili olduğu tahmin ediliyor. O zamandan bu yana geçen süre içinde bu sayı düştü, ancak yalnızca %33 oranında.
İlk tavizlerin ağırlıklı olarak AB bölgesi merkezli olduğu yerlerde (Almanya, İsviçre, İtalya ve Fransa en önde gelen hedeflerdi), Pazartesi günü itibariyle maruz kalan IP’lerin ezici çoğunluğu hala Amerika Birleşik Devletleri’nde ikamet ediyor – Almanya’da 630 ve Almanya’da 425 olan toplam 2.600 Birleşik Krallık.
Bu arada, Shadowserver bal küpleri, yalnızca Pazar günü bir düzine vakayla aktif istismar girişimlerinin sayısında bir artış kaydetti.
Ne yapalım
Kijewski, gelecekte hem bu CVE hem de bunun gibi diğerleri için daha fazla ödün verileceğini tahmin ediyor. Model olarak bu baharın MOVEit dosya aktarımı güvenlik açığına işaret ediyor.
“Tehdit aktörleri – ister devlet destekli ister suç grupları – buna zaman, para, kaynak ve beceri ayırıyor” diye açıklıyor. “Geçen yıl bir değişiklik oldu. İstismarlar daha çok ya iyi finanse edilen devlet aktörlerinin ya da bir istismar yayınlayacak araştırmacıların elindeydi ve sonra herkes çoğunluğa atlıyor. Şimdi suç grupları bile görünüyor gerçekten hedeflenen güvenlik açıklarıyla ilgilenmek ve bunları özellikle genellikle büyük kuruluşlarda çalıştırılan koda karşı tersine çevirmek.”
Yama uygulamasına ek olarak (ki bu çoğu durumda çok geç olabilir), Shadowserver, Citrix müşterilerinin olay müdahale ekipleriyle bağlantı kurmasını ve tehlikeye girmesi durumunda ya sıfırdan yeni bir sistem kurmasını ya da güvenli bir yedekten ya da anlık görüntüden yeniden başlatmasını tavsiye ediyor. Bugünün Web mermilerinin yarının siber saldırıları olacağını vurguluyorlar.
Shadowserver en son güncellemesinde “Zamanlama saldırgana uygun olduğunda bu web kabuklarının kullanılmasını bekliyoruz” diye yazdı. “Bu, başlangıçtaki tüm ilgi ortadan kalktığında ve sistem yöneticileri/güvenlik görevlileri artık Citrix cihazlarına yakından bakmadığında da olabilir. Saldırgan bunu sizin yerinize yapmadan önce Citrix cihazınızı tamir ettiğinizden emin olun.”