En son yüksek profilli Citrix NetScaler güvenlik açığı için kritik bir güvenlik güncellemesi artık mevcut. Ama bir istismar da öyle. Ve bazı durumlarda ikincisinin kullanımı birincisine göre daha basit olabilir.
Citrix müşterileri için şu ana kadar yoğun bir hafta oldu. 23 Eylül’de, aktif olarak istismar edildiğine dair raporların ardından şirket, NetScaler uygulama dağıtım denetleyicisi (ADC) ve Gateway ürünlerindeki hassas bilgilerin açığa çıkması güvenlik açığı olan CVE-2023-4966 için acil bir güncelleme yayınladı. Güvenlik açığına NIST tarafından 10 CVSS üzerinden “Yüksek” 7,5 puanı verildi, ancak Citrix tarafından “Kritik” 9,4 olarak derecelendirildi.
Daha sonra 24 Eylül’de Assetnote araştırmacıları GitHub’da bir kavram kanıtlama (PoC) istismarı yayınladı. Yaygın olarak kullanılabilen bu istismar, yol açabileceği ciddi sonuçlara kıyasla son derece basittir.
Intruder’ın ürün başkan yardımcısı Andy Hornegold, “Bu, çoğu yerde uzaktan erişim çözümüdür ve sonuç olarak çoğu zaman İnternet’e açıktır” diye açıklıyor. “Risk, birisinin bu güvenlik açığından yararlanabilmesi, oturum belirteçlerini okuyabilmesi, standart kullanıcılarınızdan biri olarak cihazınıza bağlanabilmesi ve ardından bu ayrıcalıklarla ortamınıza erişebilmesidir.”
Yeni Citrix İstismarı
Assetnote araştırmacıları CVE-2023-4966’nın merkezinde birbiriyle ilişkili iki işlevi keşfetti: ns_aaa_oauth_send_openid_config Ve ns_aaa_oauthrp_send_openid_config — her ikisi de OpenID Connect (OIDC) Discovery uç noktasının uygulanmasından sorumludur. OIDC, kimlik doğrulama ve yetkilendirme için kullanılan açık bir protokoldür.
Yama uygulanmamış bir NetScaler cihazında saldırgan, 24.812 baytı aşan bir istek göndererek arabelleği kolayca aşırı yükleyebilir. Araştırmacılar, neredeyse üç satır uzunluğundaki bir taleple cihazın hafıza sızıntısına neden olabileceğini keşfettiler.
Hornegold, yarı şakacı bir tavırla, “Sanki 1999’da hacklenmiş gibiyim” diyor. “Eskiden bu tür saldırıları gerçekleştirmenin varsayılan yolu bir sürü ‘a’yı bir pakete tıkmak ve neyin geri döndüğünü görmekti.”
Bu durumda şöyle açıklıyor: “Bir sürü ‘a’yı içeren bir isteği tek seferde gönderebilirim ve ardından yanıtın gövdesinde, o NetScaler cihazında oturum açan kişiler için oturum belirteçleri ortaya çıkmaya başlar, bu kullanıcılar olarak oturum açmak için bunu yeniden kullanabilirim.” Kötü niyetli bir kişi, kimliği doğrulanmış bir oturumu ele geçirerek, çok faktörlü kimlik doğrulama (MFA) da dahil olmak üzere tüm kontrolleri atlayabilir.
Yama Neden Yeterli Değil?
Citrix’e göre yazılımı, Fortune 500 şirketlerinin %98’i dahil olmak üzere dünya çapında 400.000’den fazla kuruluş tarafından kullanılıyor. Enlyft’e göre özellikle NetScaler, eBay ve Fujitsu gibi marka isimleri de dahil olmak üzere yaklaşık 84.000 şirket tarafından kullanılıyor.
NetScaler sadece popüler değil. Intruder’ın 25 Eylül tarihli bir blog yazısında belirttiği gibi, özellikle altyapıyı bulut yerine şirket içinde çalıştırmayı tercih eden kritik sektörlerde popülerdir.
Dolayısıyla Citrix, 23 Eylül’de müşterilerine mümkün olan en kısa sürede yama yapmalarını tavsiye etse de bunu yapmak herkes için aynı derecede kolay olmayacak. 7/24 kesintisiz çalışma süresine ihtiyaç duyan kuruluşlar için “Bu biraz dengeleyici bir hareket” Hornegold diyor ki: “Çünkü bu hizmeti mümkün olduğu kadar uzun süre canlı tutmanız gerekiyor, özellikle de kritik ulusal altyapıdan bahsederken. Herhangi bir kesintinin risk değerlendirmesinin bir parçası olarak ele alınması gerekiyor.”
Sıradan işletmeler de yama yapıp bunu unutamayacaklar. Mandiant’ın geçen hafta işaret ettiği gibi, ele geçirilen oturumlar yamalar yoluyla bile varlığını sürdürebilir, bu nedenle kuruluşların tüm aktif oturumları sonlandırmak gibi ekstra bir adım atması gerekir.
Ve bu bile yeterli olmayabilir. Mandiant, tehdit aktörlerinin Ağustos gibi erken bir tarihte CVE-2023-4966’dan yararlandığını gözlemledi ve bu durum, istismar sonrası kalıcılık ve alt erişim için sağlıklı bir zaman aralığı bıraktı.
Hornegold, “Orada tam iki aylık bir fırsat var” diye belirtiyor. “Peki eğer soru ‘Eğer bunu düzeltmezseniz olabilecek en kötü şey ne olabilir?’ —gerçekçi olmak gerekirse, en kötüsü çoktan gerçekleşmiş olabilir.”