Citrix bugün yöneticilere, savunmasız cihazları saldırılara karşı korumak için NetScaler cihazlarına CVE-2023-4966 ‘Citrix Bleed’ güvenlik açığına karşı yama uyguladıktan sonra ek önlemler almaları gerektiğini hatırlattı.
Gerekli güvenlik güncellemelerini uygulamanın yanı sıra, önceki tüm kullanıcı oturumlarını silmeleri ve tüm etkin oturumları sonlandırmaları da önerilir.
Devam eden Citrix Bleed istismarının arkasındaki saldırganların kimlik doğrulama belirteçlerini çaldığını ve yama uygulandıktan sonra bile güvenliği ihlal edilmiş cihazlara erişmelerine olanak tanıdığını düşünürsek bu çok önemli bir adımdır.
Citrix, kusuru Ekim ayının başında düzeltti ancak Mandiant, kusurun en azından Ağustos 2023’ün sonlarından bu yana sıfır gün olarak aktif olarak sömürüldüğünü açıkladı.
Mandiant ayrıca, güvenliği ihlal edilmiş NetScaler oturumlarının yama sonrasında da devam ettiği, saldırganların ağ üzerinde yatay olarak hareket etmesine veya güvenliği ihlal edilen hesapların izinlerine bağlı olarak diğer hesapların güvenliğinin ihlal edilmesine olanak sağladığı konusunda da uyardı.
Citrix bugün yaptığı açıklamada, “Güvenlik bülteninde listelenen etkilenen yapılardan herhangi birini kullanıyorsanız, güncellenmiş sürümleri yükleyerek hemen yükseltme yapmalısınız. Yükseltme sonrasında tüm aktif veya kalıcı oturumları kaldırmanızı öneririz.” dedi.
Bu, şirketin müşterilerini aşağıdaki komutları kullanarak tüm aktif ve kalıcı oturumları kapatmaları konusunda ikinci kez uyarmasıdır:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
LockBit fidye yazılımı saldırılarında istismar edildi
Bugün CISA ve FBI, LockBit fidye yazılımı çetesinin, Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ve Avustralya Siber Güvenlik Merkezi (ACSC) ile ortak bir danışma belgesinde Citrix Bleed güvenlik açığından yararlandığı konusunda uyardı.
Ajanslar ayrıca savunucuların fidye yazılımı grubunun saldırılarını engellemesine yardımcı olmak için güvenlik ihlali ve tespit yöntemlerine ilişkin göstergeler de paylaştı.
Boeing ayrıca LockBit’in Ekim ayında Citrix Bleed istismarını kullanarak ağını nasıl ihlal ettiğine dair bilgiler paylaştı; bu durum, şirketin fidye yazılımı çetesinin taleplerini yerine getirmeyi reddetmesinin ardından Boeing sistemlerinden çalınan 43 GB verinin karanlık ağa sızmasına yol açtı.
Ortak danışma belgesinde “Boeing, LockBit 3.0 bağlı kuruluşlarının, ayrı bir ortam sağlayan Boeing Dağıtım A.Ş.’nin parça ve dağıtım işine ilk erişim elde etmek için CVE-2023-4966’yı kullandığını gözlemledi. Diğer güvenilir üçüncü taraflar da benzer faaliyetlerin kendi organizasyonlarını etkilediğini gözlemledi.” uyarıyor.
“Yakın zamanda açıklanan ve Citrix NetScaler ADC ve NetScaler Gateway cihazlarını etkileyen CVE-2023-4966’ya yanıt olarak CISA, kayıt defteri kovanlarını kaydetmek, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işlem belleğini boşaltmak için kullanılan dosyaları gösteren analiz için dört dosya aldı. CISA, bugün yayınlanan Kötü Amaçlı Yazılım Analizi Raporu’nda şunu ekledi:
Güvenlik araştırmacılarına göre, bir hafta önce 10.000’den fazla İnternet’e açık Citrix sunucusu Citrix Bleed saldırılarına karşı savunmasızdı.