Şirketler, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) belirttiği gibi, şu anda saldırganlar tarafından istismar edilen Citrix NetScaler ADC ve NetScaler Gateway platformlarındaki kritik bir güvenlik açığını acilen ele alıyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Citrix NetScaler ADC ve Gateway platformlarını etkileyen, CVE-2023-4966 olarak tanımlanan ve halk arasında Citrix Bleed olarak bilinen kritik bir güvenlik açığını belirledi ve bu güvenlik açığına ilişkin kılavuz yayınladı.
Özellikle LockBit fidye yazılımı grubunun Boeing’e bir siber saldırı düzenlemek için CVE-2023-4966’dan yararlandığı görülüyor.
Kullanıcıları oturum ele geçirme ve diğer kötü amaçlı siber faaliyetler açısından risk altına sokan bilgisayar korsanı gruplarının aktif istismarına ilişkin doğrulanmış raporlara yanıt olarak CISA, hızlı bir şekilde harekete geçti.
Bu güvenlik açığı, kullanıcıları oturumun ele geçirilmesi ve diğer çeşitli kötü amaçlı faaliyetler riskiyle karşı karşıya bırakır.
Kurum, güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekleyerek sorunu üst seviyeye taşıdı ve şirketleri potansiyel tehditlere karşı koruma sağlamak için iyileştirme çabalarına öncelik vermeye ve hızlandırmaya çağırdı.
CISA ayrıca, kötüye kullanımın doğrulanması nedeniyle Bilinen Yararlanılan Güvenlik Açıkları Kataloğunu CVE-2023-29552 adlı yeni bir girişle güncelledi. Hizmet reddi saldırısına yol açabilen bu Hizmet Konumu Protokolü (SLP) güvenlik açığı, siber saldırganlar tarafından yaygın olarak istismar ediliyor ve federal ağlar için ciddi bir risk oluşturuyor.
Citrix Bleed Güvenlik Açığı İstismar Edildi
Yapay zeka destekli Tehdit istihbarat platformu Cyble, araştırması sırasında CVE-2023-4966 güvenlik açığının devam eden istismarını tespit etti. Ayrıca siber suç forumlarında bu güvenlik açıklarına yönelik Kavram Kanıtlarının (POC) hızla yayıldığını da belirttiler.
Cyble bloguna göre CVE-2023-4966’nın karmaşıklığı, istemciye gönderilen baytları belirlemek için “snprintf” dönüş değerinin kullanılmasından kaynaklanmaktadır. Araştırmacılar başlangıçta isteğe eklenen verilerin yapılandırma için yönetici erişimi gerektirdiğine inanıyordu.
Ancak daha sonra, veri yükünün değerinin HTTP Ana Bilgisayar başlığından kaynaklandığı, ana bilgisayar adının veri yüküne altı kez enjekte edildiği ve arabellek sınırını aştığı ortaya çıktı.
Citrix Bleed adlı güvenlik açığının LockBit grubu tarafından Boeing’e yapılan saldırıda kullanıldığı bildirildi.
Güvenlik uzmanı Dominic Alvieri, LockBit’in Citrix Bleed’den yararlanmaya potansiyel katılımına dikkat çekti. Dominic, LockBit istismarının ekran görüntüsünü paylaşırken “LockBit, Citrix Bleed CVE-2023-4966’yı kullanıyor gibi görünüyor” diye tweet attı.
CISA, kuruluşları güvenlik açığını hızlı bir şekilde düzeltmeye çağırırken, yakın tarihli bir rapora göre şirketler bunu yapmakta zorlanıyor.
Rapid7’deki güvenlik açığı araştırması başkanı Caitlin Condon, CitrixBleed’e bağlı sürekli ihlal modeline dikkat çekiyor. Cyber Security Dive’ın bildirdiğine göre Condon, “Kuruluşlar aktif olarak istismar edilen güvenlik açıklarını hızlı bir şekilde düzeltmeye çalışıyor gibi görünüyor” dedi.
CitrixBleed’in devam eden kullanımı, siber güvenlik alanındaki önemli bir zorluğun altını çiziyor. Artan farkındalığa ve bu tür güvenlik açıklarının oluşturduğu bariz tehlikelere rağmen kuruluşlar, önemli yamaları uygulama konusunda gecikiyor.
Bilinen tehditlere karşı savunmalarını güçlendirmedeki bu yavaşlık, bu tür kalıcı siber tehditlere karşı koruma sağlamak için daha etkili güvenlik protokollerine ve daha hızlı yama yönetimi tepkisine olan ihtiyacın altını çiziyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.