Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Yamalı Cihazlara Erişmek İçin Oturum Belirteçlerini Kullanan LockBit ve Ulus-Devlet Grupları
Mathew J. Schwartz (euroinfosec) •
21 Kasım 2023
Uzmanların, yama yapılmamış NetScaler cihazlarının ulus devlet ve siber suç grupları tarafından istismar edildiği konusunda uyarıda bulunması üzerine, üretici bir kez daha tüm kullanıcılara diğer güvenlik önlemlerinin yanı sıra “hemen yama yapma” çağrısında bulundu.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Uyarı, NetScaler ve Citrix’i iş birimleri olarak kabul eden, özel olarak düzenlenen Bulut Yazılım Grubu’na ait olan, kendi kendini yöneten tüm NetScaler Uygulama Dağıtım Denetleyicisi ve Ağ Geçidi cihazları için geçerlidir.
NetScaler, 10 Ekim’de, hem NetScaler ADC’yi hem de daha önce Citrix ADC ve Citrix Gateway olarak bilinen Gateway ürünlerini etkileyen, “Citrix Bleed” olarak da bilinen kritik bir güvenlik açığı olan CVE-2023-4966 için bir güvenlik uyarısı ve yaması yayınladı. Daha sonra hem ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı hem de Google Cloud’un Mandiant tehdit istihbarat birimi, saldırganların yamanın yayınlanmasından önce bu kusurdan aktif olarak yararlandığını bildirdi.
NetScaler Pazartesi günü, LockBit fidye yazılımı grubu da dahil olmak üzere birden fazla grubun yama yapılmamış NetScaler cihazlarından yararlandığına dair raporların ardından yeni bir uyarı yayınladı. Bunu yapmak, saldırganların yalnızca uzaktan erişim elde etmesine değil, aynı zamanda yama sonrasında bile cihazlara daha sonra erişmek için kullanabilecekleri oturum belirteçlerini çalmasına da olanak tanır.
Uzmanlar, yama yayınlanmadan önce her NetScaler ADC ve Ağ Geçidi cihazının potansiyel olarak saldırıya uğradığı konusunda uyarıyor. İngiliz güvenlik araştırmacısı Kevin Beaumont Pazartesi günü Mastodon’a yazdığı bir gönderide “Birisi internetteki hemen hemen her kutudan oturum belirteçleri topladı” dedi.
Beaumont
” target = “_blank”>13 Kasım’da LockBit’in bu güvenlik açığını kullanarak “dünyanın en büyük kuruluşlarından bazılarını ihlal ettiğini” bildirmişti. “Bu, birden fazla LockBit operatörü arasında koordineli bir şekilde yapıldı; bu, kuruluşlara sızmak için bir saldırı ekibi tarafından kullanılıyor. Citrix’in kanını akıtın ve fidye için onları alıkoyun.”
Citrix Bleed, saldırganların internete bağlı güvenlik açığı bulunan cihazlardan geçerli oturum belirteçleri elde etmesine olanak tanır. Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi geçen hafta yayınlanan bir uyarıda, “Ele geçirilen oturum belirteçleri daha sonra, kimlik doğrulamayı – çok faktörlü olsa bile – atlayan ve cihaza tam erişim sağlayan aktif oturumları taklit etmek için kullanılabilir.” uyarısında bulundu. “Bu güvenlik açığı, güvenlik açığı yamalanıp yeniden başlatılsa bile yine de ortaya çıkabilir, çünkü kopyalanan jetonlar, başka adımlar atılmadığı sürece geçerli kalacaktır.”
CISA’nın yönetici yardımcısı Eric Goldstein, gelişmiş kalıcı tehdit gruplarının da kusuru hedef aldığı konusunda uyardı. Bloomberg News’e verdiği demeçte, “Hem ulus devlet hem de suç grupları da dahil olmak üzere çok çeşitli kötü niyetli aktörlerin Citrix Bleed güvenlik açığından yararlanmaya odaklandığının farkındayız” dedi. CISA, mağdurlara iyileştirme konusunda aktif olarak yardımcı olduğunu söyledi.
Tehdit istihbaratı firması GreyNoise, CVE-2023-4966’dan yararlanmaya yönelik istikrarlı miktarda girişim görüldüğünü bildiriyor. Beaumont geçen hafta yama yapılmamış NetScaler ADC veya Ağ Geçidi veya cihazları çalıştıran 5.000 kuruluş saydığını söyledi.
Citrix’in Kanamasını Sağlamak
Saldırganlar, kurbanların ağlarına erişim sağlamak için Citrix Bleed’den yararlanıyor ve bu da “ağ keşfi, hesap bilgilerinin çalınması, RDP aracılığıyla yanal hareket, uzaktan izleme ve yönetim araçlarının konuşlandırılmasını içeren ancak bunlarla sınırlı olmayan izinsiz giriş sonrası faaliyetlere yol açıyor” FS-ISAC, “LockBit’ten kaynaklanan yüksek profilli fidye yazılımı enfeksiyonları” dedi.
Beaumont, daha sonra uzak masaüstü protokolüne atıfta bulunarak, “Bu güvenlik açığı, tüm çok faktörlü kimlik doğrulama kontrollerinin atlanmasına izin veriyor ve etkilenen kurbanın dahili ağı içinde VDI aracılığıyla işaretle ve tıkla bir masaüstü bilgisayar sağlıyor; uzak masaüstü veya RDP’yi düşünün” dedi. Bir sisteme uzaktan erişimi kolaylaştırmak için kullanılır.
NetScaler Pazartesi günü, henüz cihazlarına yama yapmamış, tüm aktif oturumları sonlandırmamış veya geçersiz kılmamış ve daha önce herhangi bir uzlaşma belirtisi olup olmadığını görmek için günlüklerini gözden geçirmiş olan tüm kuruluşlara bunu derhal yapma çağrısında bulundu. “Tatiller ve yıl sonu değişiklik donmaları yaklaşırken, NetScaler müşterilerini CVE-2023-4966 için iyileştirme kılavuzumuzu ve bu cihazların güvenliğini sağlamaya yönelik en iyi uygulamaları takip etmeye şiddetle teşvik ediyoruz” dedi.
Beaumont, “Asıl nokta şu: aktif oturumları sonlandırmak için komutları çalıştırın” dedi.
FS-ISAC ayrıca, NetScaler bir düzeltme yayınlamadan önce güvenlik açığından yararlanıldığı için tüm kuruluşlara “saldırganların arkasında web kabukları veya arka kapılar bırakıp bırakmadıklarını kontrol etmelerini ve ne zaman yama yaptıklarına bakılmaksızın sistemlerini güvence altına almalarını” öneriyor.
NetScaler ayrıca kullanıcıların kendi ortamlarındaki CVE-2023-4966 istismarlarını araştırmalarına yardımcı olacak öneriler de yayınladı. Diğer tavsiyelerin yanı sıra, kullanıcılara “kuruluşlarınızın izleme ve görünürlük araçlarında, özellikle de bunları yapılandırdıysanız sanal masaüstleriyle ilgili olarak şüpheli oturum kullanım modellerini aramaları” tavsiyesinde bulunuyor.