NCC Group’un bir parçası olan Fox-IT’den araştırmacılara göre, dünya genelinde yaklaşık 1.900 Citrix ağ ürünü, CVE-2023-3519’u hedefleyen büyük ölçekli bir otomatikleştirilmiş kampanyanın parçası olarak arka kapıya takıldı. Saldırgan, kalıcılık sağlamak için savunmasız Citrix NetScaler Uygulama Teslim Denetleyicileri (ADC) ve Citrix NetScaler Ağ Geçitlerini istismar etmiş ve bunlara Web kabukları yerleştirmiş gibi görünmektedir.
Web kabuğunun varlığı, cihaz güncellendikten ve/veya yeniden başlatıldıktan sonra bile, saldırganın rastgele komutları uzaktan yürütmeye devam edebileceği anlamına gelir. Geçen ay, güvenlik açığı ilk kez ortaya çıktığında ve güncelleme yayınlandığında, Mandiant araştırmacıları, saldırganların NetScaler yapılandırmasını değiştirmek ve işlemleri ve hizmetleri durdurmak veya devre dışı bırakmak için kullandıkları yarım düzineden fazla Web kabuğu tespit etti.
Mandiant araştırmacıları o sırada “Özellikle en az 2021’den bu yana, siber casusluk tehdit aktörleri, kurban ağlarına kalıcı erişim elde etmek ve tespit edilmekten kaçınmak için uç cihazlara, özellikle güvenlik, ağ oluşturma ve sanallaştırma teknolojilerine odaklandı.”
Fox-IT araştırmacılarının 20 Temmuz ile 21 Temmuz arasında gerçekleştiğini tahmin ettiği bu otomatikleştirilmiş kampanya sırasında, 31.127 NetScalers bu uzaktan kod yürütme kusuruna karşı savunmasızdı. 14 Ağustos itibarıyla 1.828 NetScaler’ın bir tür arka kapısı var. Güvenliği ihlal edilmiş sistemlerden 1.248’i bu güvenlik açığı nedeniyle zaten yamalanmıştır.
“Çoğu yönetici güvenlik açığının farkındayken ve o zamandan beri NetScaler’larını güvenlik açığı olmayan bir sürüme yamalamış olsa da, henüz [properly] Fox-IT, başarılı sömürü belirtileri olup olmadığını kontrol etti” dedi.
Bu, sistemi güncellemenin ve yeniden başlatmanın yeterli olmadığı zamanlardan biridir. İşletme savunucuları, yamanın ne zaman uygulandığından bağımsız olarak, güvenliğinin ihlal edildiğine dair ipuçları için NetScaler’larını kontrol etmelidir. Mandiant’ın IoC Tarayıcısı, NetScaler cihazlarında uzlaşma göstergelerini kontrol eden bir bash betiğidir.
Bir Web kabuğu bulunursa, savunucular Web kabuğunun kullanılıp kullanılmadığını görmek için NetScaler erişim günlüklerinde işaretler arayabilir. Fox-IT, bu ipuçları mevcutsa, düşmanın ağ üzerinden yanal olarak hareket edip etmediğini belirlemek için daha fazla araştırma yapılması gerektiğini söyledi.
Güvenliği ihlal edilmiş NetScaler’ların çoğunluğu Avrupa’da görünüyor. Fox-IT, Kanada, Rusya ve ABD’nin hepsinde 21 Temmuz’da binlerce savunmasız NetScaler’a sahipken, neredeyse hiçbirinde Web kabukları kurulu olmadığını söyledi.
Mandiant’ın araştırmacıları, geçen yıl aynı cihazlara yönelik olanlar da dahil olmak üzere önceki operasyonlarda yapılan araştırmaların, bu kampanyanın Çin’le bağlantılı casusluk tehdit aktörlerinin faaliyetleriyle tutarlı olduğunu gösterdiğini kaydetti. Citrix, aktif olarak istismar edilen ADC ve ağ geçidi cihazlarında benzer bir güvenlik açığını zaten bildirmiş ve yamalamıştı. Aralık 2022’de.
“Mandiant, yıllar boyunca şüpheli China-nexus gruplarının sıfır gün güvenlik açıklarından yararlandığı ve kullanıcı kimlik bilgilerini çalmak ve uzun vadeli verileri korumak için özel kötü amaçlı yazılım kullandığı savunma sanayi üssü (DIB), hükümet, teknoloji ve telekomünikasyon kuruluşlarında düzinelerce izinsiz girişi araştırdı. kurban ortamlarına erişim” dedi araştırmacılar.