İnternete açık yama yapılmamış Citrix NetScaler sistemlerini hedef alan tehdit aktörleri Sophos X-Ops tarafından takip ediliyor.
Araştırmaya göre son saldırılar, kötü amaçlı yazılım dağıtan CVE-2023–3519’u kullanan saldırılarla benzerlik taşıyor.
Citrix’in, Citrix NetScaler Uygulama Teslim Denetleyicisinde (ADC), ağustos ayının başında tehdit aktörlerinin uzaktan kod yürütmesine olanak tanıyan bir Sıfır Gün güvenlik açığı olduğu keşfedildi.
Fox-IT’nin bu ayın başındaki raporuna göre dünya çapında yaklaşık 2.000 NetScaler sisteminin güvenliği ihlal edildi.
Ağustos ortasında tehdit aktörleri, hedeflere virüs bulaştığında alan çapında bir saldırı gerçekleştirmek için Kritik sınıf NetScaler güvenlik açığını bir kod enjeksiyon aracı olarak kullandı.
Bu saldırının sonraki aşamaları, wuauclt(.)exe veya wmiprvse(.)exe’ye Payload enjeksiyonu ve kötü amaçlı yazılım hazırlama için BlueVPS ASN 62005’in kullanılması gibi davranışları içeriyordu.
Buna ek olarak, ayırt edici argümanlara sahip oldukça karmaşık PowerShell komut dosyaları kullanıyorlar ve rastgele adlandırılmış PHPweb kabuklarını (/var/VPN/theme/) bırakıyorlar.[random].php) kurban makinelerde.
Citrix, 18 Temmuz’da CVE-2023-3519 sorunu için bir yama yayınladı ve tavsiye niteliğinde daha fazla ayrıntıya sahip.
Sophos, Citrix NetScaler altyapısı kullanıcılarının, güvenlik ihlali belirtileri açısından derhal kontrol etmelerini ve ayrıca güvenlik açığına yama yapmalarını öneriyor.
Tek başına yama yapmak, sisteme erişim sağlamak için halihazırda güvenlik açığını kullanan saldırıları gidermez; bu nedenle, uygun koruma için her iki eylem de gereklidir.
Ayrıca savunucuların, NetScaler saldırılarında görülen bu IoC’lerden diğerlerinin yeni güvenlik açığının duyurulmasından önce ortaya çıkıp çıkmadığını görmek için verilerini, özellikle de Temmuz ortasından öncesine ait verileri incelemelerini tavsiye ediyor.
Bu durum için IoC’lerin bir listesi GitHub’da sunulacaktır
Uzlaşma göstergesi
| sha256 | bb28ba8d838c8eefdd5ae1e23d5872968d84e8cb86bf292b2c3bf4c84ad7dbd0 | php web kabuğu |
| sha256 | 383df272841f9a677ee03f6f553bc6cf3197427d792dc9f86b7fb1911dc83d71 | php web kabuğu |
| sha256 | 20b375ac4487a5955d4b0dd0a600e851d1e455a30c3f8babd0e7e1e97d11a073 | kötü niyetli ps1 |
| sha256 | 857d6f7e4b96738adb9cc023e2c504362fe8b73bdce422f8f8cb791dd6ac2449 | php web kabuğu |
| sha256 | 94f09d01e1397ca80c71b488b8775acfe2776b5ab42e9a54547d9e5f58caf11a | kötü amaçlı .net DLL |
| sha256 | 01717ce6fe0f79c4dc935549c516e4a1941cb4a4e84233e8fdff447177ce556e | php web kabuğu |
| sha256 | 03657d8f9dcb49a690d4b07da4f49ead58000efe458ca3ba7f878233dd25e391 | php web kabuğu |
| sha256 | 2d53aaa2638f9a986779b9e36a7b6dfdaddf3cc06698f4aa9f558c1a0591dc9a | kötü amaçlı .net DLL |
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.