ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FBI ve Avustralya Siber Güvenlik Merkezi (ACSC) ile birlikte, LockBit fidye yazılımı çetesinin Citrix Bleed olarak adlandırılan güvenlik açığından nasıl yararlanabildiğine dair ayrıntılı ayrıntıları ortaya çıkardı. CVE-2023-4966 – havacılık devi Boeing’in parça ve dağıtım biriminin sistemlerine ilk erişimi elde etmek için.
Bilgiler Boeing tarafından gönüllü olarak paylaşıldı ve Citrix NetScaler web uygulaması dağıtım kontrolünü ve NetScaler Gateway cihazlarını etkileyen Citrix Bleed’in kapsamı ve etkisine ilişkin farkındalığın artırılmasına yardımcı olmak amacıyla ortak bir danışma belgesinde yayınlandı ve CISA’ya göre şu kişiler tarafından istismar edildi: ulus devlet aktörlerinin yanı sıra LockBit.
CISA raporunda, “Citrix Bleed, tehdit aktörlerinin şifre gereksinimlerini ve çok faktörlü kimlik doğrulamayı (MFA) atlamasına olanak tanıyarak, Citrix NetScaler web uygulaması dağıtım kontrolü (ADC) ve Ağ Geçidi cihazlarındaki meşru kullanıcı oturumlarının başarılı bir şekilde ele geçirilmesine yol açar” dedi.
“Kötü niyetli aktörler, meşru kullanıcı oturumlarının ele geçirilmesi yoluyla, kimlik bilgilerini toplamak, yatay hareket etmek ve verilere ve kaynaklara erişmek için yüksek izinler elde ediyor. Kullanım kolaylığı nedeniyle, CISA ve yazar kuruluşlar, Citrix güvenlik açığının hem özel hem de genel ağlardaki yama yapılmamış yazılım hizmetlerinde yaygın şekilde kullanıldığını görmeyi bekliyor.”
Computer Weekly’nin kardeş kuruluşu TechTarget Security’nin katıldığı sanal basın toplantısında, CISA yönetici direktör yardımcısı Eric Goldstein, Boeing’i açık sözlülüğünden ötürü övdü ve gazetecilere, paylaştığı bilgilerin kurumların çok daha etkili rehberlik oluşturmasını sağladığını söyledi.
CISA, bu bilgilere dayanarak diğer mağdurlara yardım etmek için de adımlar atabildi. Goldstein şunları söyledi: “Zarar meydana gelmeden önce güvenlik açıklarını azaltabilmeleri için, etkilenen cihazların savunmasız örneklerini çalıştırıyor gibi görünen yaklaşık 300 kuruluşa bildirimde bulunduk.”
Boeing’e yapılan saldırıda LockBit’in bağlı kuruluşunun Citrix Bleed’den yararlanarak geçerli NetScaler oturum çerezlerine erişim elde ettiği ve bir kullanıcı adına, parolaya veya MFA belirtecine ihtiyaç duymadan NetScaler cihazı içinde bir kimlik doğrulama oturumu kurduğu görüldü.
Bu, özel hazırlanmış bir HTTP Hoster başlığına sahip bir HTTP GET isteği gönderilerek yapıldı; bu istek, güvenlik açığı bulunan bir NetScaler cihazının, gerekli çerezler de dahil olmak üzere sistem belleği bilgilerini döndürmesine neden oldu.
Bunu takiben LockBit, bir PowerShell betiği çalıştırdı ve takip eden faaliyetlerini yönetmek için AnyDesk ve Splashtop dahil olmak üzere bir dizi uzaktan yönetim ve izleme aracını bıraktı.
LockBit, halka açık sızıntı sitesinde Boeing’in adını verip onu utandırdıktan sonra, kuruluşun sistemlerinden çalınan yaklaşık 40 GB veriyi sızdırdı. Boeing, olayın uçuş güvenliğini hiçbir şekilde etkilemediğini açıkça belirtti.
CISA, FBI ve ACSC, ağ yöneticilerini, raporlarında yer alan hafifletici önlemleri uygulamaya, özellikle de NetScaler cihazlarını izole etmeye ve tamamı burada yer alan belirtilen tespit yöntemlerini ve tehlike göstergelerini kullanarak ağlarındaki kötü amaçlı etkinlikleri aramaya teşvik ediyor. raporda.
Bu, Citrix’in bir aydan uzun süredir mevcut olan gerekli yamalarının uygulanmasına ek olarak yapılıyor.