Durumun böyle olma ihtimali ilk olarak güvenlik araştırmacısı ve yorumcu Kevin Beaumont tarafından 9 Kasım Perşembe günü sosyal medya sitesi Mastodon aracılığıyla gündeme getirildi. Beaumont, Shodan’dan alınan ve ICBC’nin CVE-2023-4966’ya karşı yama yapılmamış bir Citrix NetScaler cihazı çalıştırdığını ortaya koyan kanıtları yayınlamıştı.
Göre Wall Street DergisiNotu inceledikten sonra en son gelişmeyi ilk bildiren Hazine Müsteşarlığı, sektöre bir bilgi ifşa güvenlik açığı olan CVE-2023-4966’nın ve CVE-2023-4967 olarak takip edilen ikinci bir hatanın henüz tam olarak belirlenmediğini söyledi. Hizmet reddi güvenlik açığı, LockBit operatörleri tarafından kullanılan erişim vektörleriydi. Ancak yetkililer bunun yakın zamanda doğrulanacağından emin görünüyor.
Reuters’e göre geçen haftaki saldırının ardından ICBC’nin iş yapma yeteneğindeki kesinti o kadar büyüktü ki çalışanlar özel web posta hizmetlerine geçmek zorunda kaldı, aracı kurum da geçici olarak yatırım bankası BNY Mellon’a borçlu kaldı. 9 milyar dolar.
Ayrı bir gelişmede, LockBit kartelinin çıkarlarını temsil ettiğini iddia eden bir kişi haber ajansına şunları söyledi: ICBC’nin fidye ödediğini söyledi. Bu iddianın doğruluğu doğrulanmadı.
Citrix Bleed konusunda endişelenmeli miyim?
Yaygın olarak Citrix Bleed olarak bilinen CVE-2023-4966’nın sıfır gün kullanımı Ağustos ayının başına tarihlendi ve Citrix’in bir güncelleme yayınlamasından sekiz gün sonra, 18 Ekim’de CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi. yama yap.
Mandiant araştırmacıları, başarılı bir şekilde istismar edildiğinde bir saldırganın CVE-2023-4966’yı kullanarak mevcut kimliği doğrulanmış oturumları ele geçirebileceğini ve kimlik doğrulama önlemlerini atlayabileceğini ve daha da kötüsü, bu oturumların Citrix yaması dağıtılsa bile devam edebileceğini açıkladı.
Analistler ayrıca oturum verilerinin yama dağıtılmadan önce çalındığı ve daha sonra bir saldırgan tarafından kullanıldığı oturum ele geçirme olayını da gözlemledi.
Kimliği doğrulanmış oturumun ele geçirilmesi bir sorundur çünkü saldırganların kimlik veya oturuma verilen izinlere bağlı olarak daha geniş bir alt erişim elde etmesine yol açabilir.
Daha sonra ek kimlik bilgilerini çalabilir ve ayrıcalıklarını artırmak ve fidye yazılımı yüklerini yürütmek için kurbanın ağı boyunca yanal olarak hareket etmeye başlayabilirler.
Mandiant, profesyonel hizmetlerde, teknolojide ve kamu sektörü kuruluşlarında istismarın görüldüğünü söyledi.
Citrix Bleed’in bir siber suç çetesi tarafından istismarı, en azından kamuoyunun bilgisine göre, diğer kritik uzlaşmalardan sonra görülen aynı faaliyet ölçeğine ulaşmadı; örneğin, Cloop çetesinin binden fazla kişiye saldırdığı Progress Software’in MOVEit aracındaki bir kusuru hedef almak gibi. kurbanlar.
Ancak henüz sorunu çözmeyen kullanıcılar için zaman artık kritik derecede kısalıyor. Çalınan verilerinin yayınlandığı Boeing’e yönelik LockBit saldırısının ve ABD’nin önde gelen hukuk firmalarından birine yapılan saldırının arkasında ICBC’nin yanı sıra Citrix Bleed’in de olduğu düşünülüyor.
WithSecure siber güvenlik danışmanı Paul Brucciani, “NetScaler ADC, çevrimiçi uygulamalarınız için cop sallayan bir trafik iletkeni gibidir” dedi. “Tüm gelen kullanıcı trafiğinin yönetilmesine yardımcı olarak doğru uygulamaya hızlı ve güvenli bir şekilde ulaşmasını sağlıyor. NetScaler Gateway, iş uygulamalarınıza tek giriş noktasını kontrol eden bir gece kulübü koruma görevlisi gibidir.
“Güvenlik açığı, uzak masaüstü uygulamalarına ve kuruluşların güvenlik duvarlarının arkasında korunan verilere, herhangi bir uyarı veya günlük oluşturmadan erişim sağlıyor” dedi. “Bu zaten ciddi.
“Her gün tüm internet trafiğinin %75’inin Citrix NetScaler’dan geçtiği tahmin ediliyor; bu da, bu cihazlarda bulunan herhangi bir güvenlik açığının, saldırganın eline büyük bir güç vereceği anlamına geliyor. Bu nedenle… 10 üzerinden 9,4 puan alarak kritik bir güvenlik açığı olarak derecelendirildi.”
Citrix Bleed’in keşfedilir keşfedilmez neden daha büyük bir yaygara koparılmadığını göz önünde bulunduran Brucciani, güvenlik ekiplerinin – özellikle de büyük işletmelerdekilerin – zaten binlerce başka sorunun ağırlığı altında mücadele ettiğini söyledi.
“Güvenlik açıklarının yalnızca %2’si kötü niyetli amaçlarla kullanılıyor ve bankaların bile her güvenlik açığını hemen düzeltecek kaynakları yok. Peki hangilerine öncelik veriyorsunuz? Doğru kararı verseniz bile yama uygulamak kolay değildir, özellikle de ICBC gibi karmaşık BT sistemlerini işleten ve her savunmasız varlığın tanımlandığı varsayıldığında yama uygulamak için kolaylıkla çevrimdışına alınamayan büyük kuruluşlar için” dedi.
Savunmasız olan nedir?
Citrix’e göre NetScaler ailesinin aşağıdaki üyeleri Citrix Bleed’e karşı savunmasızdır.
- NetScaler ADC ve NetScaler Gateway 14.1’den 14.1-8.50’ye kadar
- NetScaler ADC ve NetScaler Gateway 13.1’den 13.1-49.15’e kadar
- NetScaler ADC ve NetScaler Gateway 13.0’dan 13.0-92.19’a kadar
- NetScaler ADC 13.1-FIPS, 13.1-37.164’e kadar
- NetScaler ADC 12.1-FIPS, 12.1-55.300’e kadar
- NetScaler ADC 12.1-NDcPP 12.1-55.300’e kadar
Ayrıca, kullanım ömrünün sonuna gelmiş olan NetScaler ADC ve Gateway sürüm 12.1’in de savunmasız olduğunu unutmayın. Ancak Citrix tarafından yönetilen bulut hizmetlerini veya Citrix tarafından yönetilen Uyarlanabilir Kimlik Doğrulamayı kullanan müşteriler kapsam dahilindedir.