Citrix NetScaler ADC ve Citrix NetScaler Gateway’deki kimliği doğrulanmamış kritik bir uzaktan kod yürütme güvenlik açığından aktif olarak yararlanılıyor
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarına dayanarak, Citrix NetScaler ADC ve Citrix NetScaler Gateway’de bulunan kritik bir kimliği doğrulanmamış uzaktan kod yürütme (RCE) güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi. Bu, Federal Sivil Yürütme Şubesi (FCEB) kurumlarının ağlarını aktif tehditlere karşı korumak için bu güvenlik açığını 9 Ağustos 2023’e kadar düzeltmesi gerektiği anlamına gelir. Herkesi de ciddiye almaya davet ediyoruz.
Önerilen eylemler, satıcı talimatlarına göre hafifletme önlemleri uygulamak veya azaltıcı önlemler mevcut değilse ürünün kullanımına son vermektir. Aktif sömürü göz önüne alındığında, bunu mümkün olan en kısa sürede yapmanızı tavsiye ederiz.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Bu güncellemede yamalanan aktif olarak kullanılan CVE, CVSS puanı 10 üzerinden 9,8 olan bir Citrix NetScaler ADC ve NetScaler Gateway kod yerleştirme güvenlik açığı olan CVE-2023-3519’dur. Güvenlik açığı, kimliği doğrulanmamış RCE’ye yol açabilir. Ağ Geçidi (VPN sanal sunucusu, ICA Proxy, CVPN, RDP Proxy) veya kimlik doğrulama, yetkilendirme ve hesap oluşturma (AAA) sanal sunucusu olarak yapılandırılmış cihazları etkiler.
Bu güvenlik açığından yararlanan kampanya hakkında çok az bilgi sağlandı. Bildiğimiz şey, suçluların, bir saldırgan tarafından uzaktan komutları çalıştırmak ve zaten güvenliği ihlal edilmiş bir sistemde kalıcı erişimi sürdürmek için kullanılabilecek bir komut dosyası olan web kabuklarını kullandığıdır. CISA, şu anda aktif olan kampanyanın taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında bir siber güvenlik danışmanlığı yayınladı.
Bildirildiğine göre, halka açık İnternet’e açık yaklaşık 38.000 Citrix Gateway cihazı var ve bir siber suç forumunda Uzaktan Kod Yürütme (RCE) istismarının satışı da dahil olmak üzere Citrix ADC’ye yönelik istismarlar tartışıldı.
Citrix şunları belirterek aciliyeti kabul ediyor:
“CVE-2023-3519’un hafifletilmemiş cihazlarda kötüye kullanımı gözlemlendi. Cloud Software Group, etkilenen NetScaler ADC ve NetScaler Gateway müşterilerini ilgili güncellenmiş sürümleri mümkün olan en kısa sürede yüklemeye şiddetle teşvik ediyor.”
Citrix’in bu güvenlik açığıyla ilgili güvenlik bülteni iki güvenlik açığı daha içeriyor. NetScaler ADC ve NetScaler Gateway’in aşağıdaki desteklenen sürümleri güvenlik açıklarından etkilenir:
- 13.1-49.13 öncesi NetScaler ADC ve NetScaler Gateway 13.1
- 13.0-91.13 öncesi NetScaler ADC ve NetScaler Gateway 13.0
- 13.1-37.159 öncesi NetScaler ADC 13.1-FIPS
- 12.1-55.297 öncesi NetScaler ADC 12.1-FIPS
- 12.1-55.297 öncesi NetScaler ADC 12.1-NDcPP
Citrix, NetScaler ADC ve NetScaler Gateway sürüm 12.1’in kullanım ömrünün sonuna geldiğini ve müşterilerin ürünün daha yeni bir çeşidine yükseltme yapması gerektiğini belirtiyor.
Citrix tarafından yönetilen bulut hizmetlerini veya Citrix tarafından yönetilen Adaptive Authentication kullanan müşterilerin herhangi bir işlem yapmasına gerek yoktur.
Malwarebytes, bu güvenlik açığından yararlanan etkin kampanya için bilinen güvenlik ihlali göstergeleri (IoC’ler) olan IP adreslerini engeller.
216.41.162.172
216.51.171.17
Bulut sunucularının güvenliğinin ihlal edilip edilmediğini ve bu konuda ne yapmaları gerektiğini görmek isteyen yöneticiler için bu kontrol listesini buldum.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.