Citrix NetScaler Güvenlik Açığından Yararlanan Bilgisayar Korsanları Kimlik Bilgilerini Çaldı


Bilgisayar Korsanları Kullanıcı Kimlik Bilgilerini Çalmak İçin Citrix NetScaler Güvenlik Açıklarından Yararlanıyor

Tehdit aktörleri, kimlik doğrulama web sayfasının HTML’sine kötü amaçlı komut dosyaları enjekte etmek ve kullanıcı kimlik bilgilerini çalmak için CVE-2023-3519 olarak sınıflandırılan güvenlik açığını kullanarak yama yapılmamış NetScaler Ağ Geçitlerine saldırıyorlardı.

CVSS puanı 9,8 olan CVE-2023-3519, NetScaler ADC’yi ve Uzaktan Kod Yürütülmesine izin veren NetScaler Gateway’i etkileyen kritik bir güvenlik açığıdır.

X-Force, ABD ve Avrupa’ya odaklanarak, değiştirilmiş NetScaler Ağ Geçidi oturum açma sayfalarını barındıran 600’den fazla farklı kurban IP adresi belirledi.



Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Daha Büyük Kimlik Bilgisi Toplama Kampanyası

Raporlar, bir müşterinin NetScaler cihazındaki gecikmiş kimlik doğrulama şikayetlerini araştırdıktan sonra komut dosyasını bulduğunu söylüyor.

Tehdit aktörü, meşru ‘index.html’ dosyasına özel HTML kodu eklemelerine olanak tanıyan ve VPN kimlik doğrulama sayfasının saldırganın sayfasında barındırılan bir JavaScript dosyasını yüklemesine olanak tanıyan bir PHP web kabuğu enjekte etmek için CVE-2023-3519’dan yararlanıyordu.

Saldırı zinciri
Saldırı zinciri

“index.html” dosyasına eklenen JavaScript kodu, “Log_On” öğesine özel bir işlev ekleyen ve kimlik doğrulama sonrasında kullanıcı adı ve şifre bilgilerini içeren form verilerini toplayan ek JavaScript kodunu alıp çalıştırarak kimlik bilgilerinin toplanmasını kolaylaştırır.

Kimlik bilgisi toplama
Kimlik bilgisi toplama

Araştırmacılar, jscloud da dahil olmak üzere tehdit aktörünün oluşturduğu birçok alan keşfetti[.]mürekkep, jscloud[.]canlı, jscloud[.]biz, jscdn[.]biz ve cloudjs[.]canlı.

Komuta ve kontrol (C&C) dışında, bu saldırılarda kullanılan JavaScript dosyaları neredeyse benzerdir. Alınan kimlik bilgileri aynı URL’ye iletildi.

“NetScaler Paket İşleme Motoru (NSPPE) kilitlenme dosyaları, güvenlik açığından yararlanıldığına dair kanıtlar içerebilir. Kilitlenme dosyaları “/var/core/” konumunda bulunur/NSPPE*” dedi araştırmacılar.

NSPPE kilitlenme dosyası zaman damgalarının, istismar yoluyla oluşturulan PHP web kabuklarının dosya sistemi zaman damgalarıyla uyumlu olduğu bulundu.

Kilitlenme dosyası
Kilitlenme dosyası

CISA, CVE-2023-3519’un yaygın şekilde kullanılmasına yanıt olarak tespit, olay müdahalesi, hafifletmeler ve güvenlik prosedürlerinin test edilmesi hakkında bilgiler içeren bir tavsiye belgesi yayınladı. Belirtilen önerilere uymanız tavsiye edilir.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link