Birden fazla kuruluşta Citrix NetScaler cihazlarını hedef alan kaba kuvvet saldırılarında önemli bir artış.
Çoğunlukla Hong Kong merkezli bir bulut sağlayıcısından kaynaklanan saldırılar, yanlış yapılandırılmış ve güncelliğini kaybetmiş sistemlerden yararlanıyor ve Citrix NetScaler’ı etkileyen son kritik güvenlik açığı açıklamalarıyla örtüşüyor.
Saldırılar, yeni açıklanan güvenlik açıklarının (özellikle Kasım 2024’te tanımlanan CVE-2024-8534 ve CVE-2024-8535) yakınında artış gösterdi.
CVE-2024-8534 – bellek bozulmasına ve hizmet reddine yol açabilecek bir bellek güvenliği güvenlik açığıdır.
CVE-2024-8535 – kimliği doğrulanmış kullanıcıların, yarış durumu nedeniyle istenmeyen kullanıcı özelliklerine erişmesine olanak tanır.
Cyderes’teki yönetilen hizmetler operasyonları direktörü Ethan Fite, saldırganların dağıtılmış bir kaba kuvvet stratejisi kullandığını, her denemede IP adreslerini ve Otonom Sistem Numaralarını (ASN’ler) sıklıkla değiştirdiğini bildirdi. Bu taktik, tespit ve hafifletmeyi güvenlik ekipleri için özellikle zorlaştırıyor.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
Alman Federal Bilgi Güvenliği Bürosu (BSI), kritik altyapı sektöründeki çeşitli kuruluşlardan ve uluslararası ortaklardan gelen raporlarla NetScaler cihazlarına yönelik artan kaba kuvvet saldırıları konusunda da uyarıda bulundu.
Bu tehditleri azaltmak için siber güvenlik uzmanları birkaç acil eylem önermektedir:
- Yüksek riskli IP aralıklarını, özellikle de Hong Kong merkezli bulut sağlayıcıyla ilişkili olanları engelleyin.
- NetScaler cihazlarını, özellikle CVE-2024-8534 ve CVE-2024-8535’e yönelik, desteklenen en son sürümlere yamalayın ve yükseltin.
- Uzak Masaüstü Protokolü (RDP) özelliğinin güvenli kurulumunu sağlayarak veya gereksizse devre dışı bırakarak yapılandırmaları doğrulayın.
- Yüksek riskli veya operasyonel açıdan gereksiz konumlar için coğrafi engelleme uygulayın.
- Başarısız oturum açma denemelerindeki ani artışlar veya trafik düzensizlikleri gibi anormal etkinlikleri izleyin.
Citrix, NetScaler ADC ve NetScaler Gateway 14.1-29.72, 13.1-55.34, 13.1-FIPS 13.1-37.207, 12.1-FIPS 12.1-55.321 ve 12.1-NDcPP sürümlerinde bu güvenlik açıklarını gidermek için güvenlik güncellemeleri yayınladı. 12.1-55.321. Ancak kullanım ömrü sonu durumuna ulaşan 12.1 ve 13.0 sürümleri savunmasız durumda.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da bu güvenlik açıklarına ilişkin bir uyarı yayınlayarak, tehdit aktörlerinin etkilenen sistemlerin kontrolünü ele geçirmek için bunları potansiyel olarak kullanabileceğini vurguladı.
Durum gelişmeye devam ettikçe, Citrix NetScaler cihazlarını kullanan kuruluşlara, sistemlerini güvence altına almak ve olası ihlalleri önlemek için derhal harekete geçmeleri şiddetle tavsiye ediliyor.
Devam eden saldırılar, güncel güvenlik önlemlerini korumanın ve sürekli değişen siber güvenlik ortamında ortaya çıkan tehditlere karşı tetikte kalmanın kritik önemini vurguluyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin