Citrix NetScaler ADC sıfır günlük güvenlik açığının (CVE-2023-3519) istismarı ilk olarak kritik bir altyapı kuruluşu tarafından fark edildi ve durumu Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) bildirdi.
“Haziran 2023’te tehdit aktörleri, kritik bir altyapı kuruluşunun üretim dışı ortamı NetScaler ADC cihazına bir web kabuğu bırakmak için bu güvenlik açığından sıfır gün olarak yararlandı. Web kabuğu, aktörlerin kurbanın aktif dizininde (AD) keşif gerçekleştirmesini ve AD verilerini toplayıp sızdırmasını sağladı. Ajans, Perşembe günü yayınlanan bir danışma belgesinde, aktörler yanal olarak bir etki alanı denetleyicisine geçmeye çalıştı ancak cihaz için ağ bölümleme kontrolleri hareketi engelledi.
IoC’ler, IR ve hafifletme tavsiyesi
Saldırı, Temmuz 2023’te CISA ve Citrix’e bildirildi ve Citrix, 18 Temmuz’da düzeltmeleri duyurdu.
Güvenlik bülteninde “CVE-2023-3519’un hafifletilmemiş cihazlarda kötüye kullanımı gözlemlendi” denildi, ancak saldırılara veya bir kuruluşun hedef olup olmadığının nasıl kontrol edileceğine ilişkin ek ayrıntılar kamuoyuyla paylaşılmadı.
Bilginin geniş çapta paylaşılmayacağı (yani, içeriğin bu kuruluşlarla sınırlı olacağı ve “bilinmesi gerekenler temelinde” müşterileriyle paylaşılacağı) anlayışı altında, bir uzlaşma göstergelerinin (IoC’ler) listesi seçili kuruluşlarla paylaşılmıştır.
“Citrix topluluğundan aldığımız bilgiye göre, saldırılara uğrayan sistemlerin sayısı gün geçtikçe artıyor. Alman BT danışmanı Manuel Winkel 19 Temmuz’da yaptığı açıklamada, ilk istismarlar bir süredir karanlık ağda da satın alınabiliyordu.
Bir kişinin kuruluşunun vurulup vurulmadığını nasıl kontrol edeceğine dair tavsiyeler paylaştı ve sonuç olumluysa ne yapılacağı konusunda tavsiyelerde bulundu.
CISA’nın danışma belgesi, kritik altyapı kuruluşunda algılanan saldırıdaki tehdit aktörü etkinliği hakkında daha fazla ayrıntı sunar, saldırı algılama yöntemlerini tanımlar ve güvenlik ihlali algılanırsa olaya müdahale konusunda tavsiyelerde bulunur.
CVE-2023-3519’un vahşi kullanımı
Greynoise, internete bakan NetScaler ADC platformlarının ve Ağ Geçitlerinin CVE-2023-3519 aracılığıyla kimlik doğrulama girişimleriyle vahşi ortamda araştırılmasını göstermek için bir etiket oluşturdu, ancak şu ana kadar herhangi bir algılama olmadı.
Güvenlik açığı bulunan kurulumları belirlemek için bağımsız ve Nmap betikleri GitHub’da yayınlandı.
Winkel’in söylediği doğruysa, yani CVE-2023-3519’a yönelik ilk güvenlik açıkları bir süredir karanlık ağda satın alınabiliyorsa, saldırganların yanal hareketlerini engellemeyi başaramayan, ele geçirilmiş birçok kuruluş olabilir.
Şu anda saldırganların nihai hedefinin ne olduğunu söylemek imkansız, ancak etkilenen kuruluşlar hızlı tepki vermezlerse bunu yakında keşfedebilirler.