Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tehdit aktörlerinin CVE-2023-3519 olarak bilinen bir Citrix/NetScaler güvenlik açığını kullanarak kritik altyapıyı hedef almaya çalıştıklarına dair bir uyarı yayınladı. Ancak bu tehdit aktörleri, güçlü savunmaları ve ağ bölümlendirmesi nedeniyle çabalarında başarısız oldu.
Bazı insanlar diğerleri kadar şanslı değildir. Artık geliştirildiklerine göre, algılama betiklerine ve IOC’lere erişilebilir. (Güvenilmez konum
Uyarı, Critix’in CVE-2023-3519 olarak bilinen endişe verici bir kimlik doğrulama öncesi RCE güvenlik açığını ifşa etmesinden birkaç gün sonra yayınlandı. Bu güvenlik açığı, artık resmi olarak sırasıyla Citrix ADC ve Citrix Gateway olarak bilinen NetScaler ADC ve NetScaler Gateway’i etkilemektedir.
Ajans şimdi Uzlaşma Göstergelerini (IoC’ler) daha önceki bir tavsiyenin sınırlı bir şekilde “TLP: Amber” olarak yayınlanmasının ardından açıkladı – saldırıların Haziran ayından bu yana vahşi doğada meydana geldiği düşünüldüğünde sorunlu kabul edilebilecek bir hareket.
Bilgisayar korsanları, açıklanmayan bir CNI sağlayıcısına ait bir NetScaler ADC’nin üretim dışı örneğine bir web kabuğu yüklemek için güvenlik açığından yararlandı. Bu, “aktörlerin kurbanın AD’sini keşfetmesini ve AD verilerini toplayıp sızdırmasını sağladı.”
CISA, şükür ki, sağlam mimari ve genel olarak etkili savunmaların, kimlik doğrulaması gerekmeden uzaktan yararlanılabilen CVSS 9.8 güvenlik açığının kötüye kullanılmasından endişe duyan kişiler için bazı değerli tespitler sağlayan bir yazıda daha fazla yararlanmayı engellediğini belirtti.
Citrix, 18 Temmuz’da müşterilerine, güvenlik açığının bir Ağ Geçidi (VPN sanal sunucusu, ICA Proxy, CVPN, RDP Proxy) olarak kurulduğunda ve ayrıca bir AAA sanal sunucusuyla birlikte kullanıldığında aşağıdakileri etkilediğini açıklayan bir uyarı yayınladı.
- 13.1-49.13 öncesi NetScaler ADC ve NetScaler Gateway 13.1
- 13.0-91.13 öncesi NetScaler ADC ve NetScaler Gateway 13.0
- 13.1-37.159 öncesi NetScaler ADC 13.1-FIPS
- 12.1-65.36 öncesi NetScaler ADC 12.1-FIPS
- 12.65.36 öncesi NetScaler ADC 12.1-NDcPP
CISA, ilk saldırı zincirlerinin bir parçası olarak, tehdit aktörlerinin genel bir web kabuğu, keşif komut dosyası ve setuid kötü amaçlı yazılımı içeren ADC cihazına bir TGZ dosyası yüklerken alt ağda SMB taraması yaptığını söyledi.
CISA’nın tavsiyelerine göre, yöneticiler mümkün olan en kısa sürede yamaları uygulamalı, algılamaları çalıştırmalı ve bir uzlaşma bulunursa, potansiyel olarak etkilenen ana bilgisayarları karantinaya almalı veya çevrimdışına almalıdır; güvenliği ihlal edilmiş ana bilgisayarları yeniden görüntüleme; yeni hesap kimlik bilgileri sağlamak; aktif süreçler/hizmetler, olağandışı kimlik doğrulamaları ve son ağ bağlantıları gibi yapıları toplayın ve inceleyin; ve ABD’deyse, uzlaşmayı CISA’ya bildirin.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.