Bugün CISA, ABD federal kurumlarına sistemlerini yakın zamanda yamalı üç Citrix NetScaler ve saldırılarda aktif olarak kullanılan sıfır günlere karşı korumalarını emretti ve bir Citrix RCE hatasının bir hafta içinde düzeltilmesi için baskı yaptı.
Siber güvenlik kurumu kusurları bugün Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğuna ekledi ve bu tür güvenlik açıklarının “kötü niyetli siber aktörler için sık sık yapılan saldırı vektörleri” olduğunu ve “federal kuruluş için önemli riskler” oluşturduğunu söyledi.
Citrix, Salı günü müşterilerini, uzaktan kod yürütme ve reddetme için kullanılabilecek Netscaler yönetim arayüzünü etkileyen CVE-2023-6548 kod yerleştirme güvenlik açığına ve CVE-2023-6549 arabellek taşmasına karşı Internet’e açık Netscaler ADC ve Ağ Geçidi cihazlarını derhal düzeltmeye çağırdı sırasıyla hizmet saldırıları.
Güvenlik güncellemelerini hemen yükleyemeyenler, etkilenen örneklere giden ağ trafiğini engelleyebilir ve geçici bir çözüm olarak bunlara çevrimiçi erişilememesini sağlayabilir. Shadowserver tehdit izleme platformuna göre şu anda 51.000’den fazla Netscaler cihazı çevrimiçi olarak kullanıma sunuluyor ve yalnızca 1.500’ünün yönetim arayüzlerine İnternet üzerinden erişilebiliyor.
CISA ayrıca Chromium V8 JavaScript motorundaki CVE-2024-0519 sınır dışı bellek erişimini de bugün KEV listesine ekledi. Bu, bu yıl Google tarafından yamalanan ilk Chrome sıfır gün uygulamasıdır.
Savunmasız NetScaler örneklerinin güvenliğini sağlamak için bir hafta
CISA’nın KEV listesine dahil edildikten sonra, ABD Federal Sivil Yürütme Organı Ajansları (FCEB), üç yıl önce yayınlanan bağlayıcı bir operasyonel direktifin (BOD 22-01) zorunlu kıldığı şekilde, ağlarındaki hassas cihazlara belirli bir zaman çizelgesi içinde yama yapmalıdır.
Siber güvenlik kurumu, şu anda yama uygulanan üç sıfır gün içerisinden, NetScaler ADC ve Ağ Geçidi yönetim arayüzlerini etkileyen CVE-2023-6548 güvenlik açığının önümüzdeki 24 Ocak Çarşamba gününe kadar bir hafta içinde yamalanmasını istiyor.
Diğer ikisi, yani CVE-2023-6549 NetScaler arabellek taşması ve CVE-2024-0519 Google Chrome hatasının 7 Şubat’a kadar üç hafta içinde hafifletilmesi gerekiyor.
CISA, hızlandırılmış CVE-2023-6548 yama sürecini açıklamasa da Citrix’in müşterilerin savunmasız cihazları mümkün olan en kısa sürede güvenceye alması gerektiği yönündeki uyarısı ve hatanın yönetim arayüzünün etkisi muhtemelen önemli bir rol oynadı.
BOD 22-01 yalnızca ABD federal kurumları için geçerli olsa da CISA, tüm kuruluşları (özel şirketler dahil) bu güvenlik kusurlarını mümkün olan en kısa sürede düzeltmeye öncelik vermeye çağırdı.