Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın zamanda, tehdit aktörlerinin Citrix ADC (Uygulama Teslim Denetleyicisi) ve NetScaler Ağ Geçitlerindeki bir Sıfırıncı gün güvenlik açığından yararlandığını belirten bir güvenlik danışma belgesi yayınladı.
Kritik bir altyapı kuruluşunun üretim dışı ortamına bir web kabuğunun yerleştirilmesini sağlayan bir güvenlik açığı keşfedildi. Bu, CISA ve Citrix Systems’e bildirildi.
Tehdit aktörleri, bu web kabuklarını ortama bırakmak için kimliği doğrulanmamış, uzaktan kod yürütme güvenlik açığından yararlandı ve ayrıca yanal olarak etki alanı denetleyicisine taşınmaya çalıştı. Ancak, ağ bölümleme kontrolleri nedeniyle engellendi.
CVE-2023-3519: Kod Ekleme Güvenlik Açığı
Cihaz bir Ağ Geçidi (VPN Sanal Sunucusu, RDP proxy vb.) veya Kimlik Doğrulama, Yetkilendirme ve Denetim (AAA) Sunucusu olarak yapılandırılmışsa, bu güvenlik açığı bir tehdit aktörü tarafından kullanılabilir. Bu güvenlik açığı için CVSS Puanı 9.8 (kritik).
Citrix sistemleri, bu güvenlik açığını gidermek için yamalar yayınladı.
Etkilenen Ürünler
- 13.1-49.13 öncesi NetScaler ADC ve NetScaler Gateway 13.1
- 13.0-91.13 öncesi NetScaler ADC ve NetScaler Gateway 13.0
- NetScaler ADC ve NetScaler Gateway sürüm 12.1, kullanımdan kaldırıldı
- 13.1-37.159 öncesi NetScaler ADC 13.1-FIPS
- 12.1-65.36 öncesi NetScaler ADC 12.1-FIPS
- 12.65.36 öncesi NetScaler ADC 12.1-NDcPP
Teknik Analiz
Tehdit aktörleri, ADC’de bir SMB taraması yürütmek için setuid ikili, genel web kabuğu ve keşif komut dosyasından oluşan ADC cihazına kötü amaçlı bir TGZ dosyası yükledi. Ayrıca, webshell ile AD numaralandırma ve veri sızdırma gerçekleştirildi. Tehdit aktörleri tarafından gerçekleştirilen ek faaliyetler şunları içerir:
- NetScaler Yapılandırma dosyasının görüntülenmesi (Şifrelenmiş parolalar içerir)
- NetScaler Şifre Çözme Anahtarlarını Görüntüleme (Config dosyasından çıkarılan parolaların şifresini çözmek için kullanılır)
- Şifresi çözülmüş AD kimlik bilgileri ve Kullanıcılar, Bilgisayarlar, Gruplar, Alt Ağlar, Kuruluş Birimleri, Kişiler, Bölümler ve Güvenler gibi çıkarılan veriler aracılığıyla LDAP araması yapma
Kuruluş, ADC cihazı için bölümlere ayrılmış bir ortam uyguladığından, tehdit aktörleri tarafından yapılan diğer sorgular başarısız oldu. Başarısız olan veri hırsızlığı sorguları aşağıdaki gibidir
- Dahili ağı taramanın yanı sıra potansiyel yanal hareket hedeflerini kontrol etmek için alt ağ çapında curl komutunun yürütülmesi
- google.com’a ping komutuyla giden ağ bağlantısı
- DNS araması için alt ağ çapında ana bilgisayar komutları
Bununla birlikte, tehdit aktörleri yetkilendirme yapılandırma dosyasını da sildi. /etc/auth.conf ayrıcalıklı kullanıcıların uzaktan oturum açmasını önlemek için. Kuruluş, tek kullanıcı modunda yeniden başlatarak sunucuya yeniden erişim sağlamaya çalışırsa, tehdit aktörlerinin yapıtlarını siler.
CISA, MITRE ATT&CK çerçevesi, tespit yöntemleri, hafifletme ve önleme adımları hakkında eksiksiz bir rapor yayınladı. Kuruluşların bunları takip etmesi ve tehdit aktörleri tarafından bu tür ihlalleri azaltması önerilir.