Siber araştırmacıların kendilerini hedef alan yüksek düzeyde aktivite görmeye başlamasının ardından, yakın zamanda açıklanan iki güvenlik açığına karşı henüz yama yapmamış olan Citrix’in NetScaler Uygulama Dağıtım Denetleyicisi (ADC) ve NetScaler Gateway ürünleri kullanıcıları için zaman daralıyor olabilir.
10 Ekim’de açıklanan ve muhtemelen Ağustos kadar uzun bir süre önce kullanılan iki kusur, CVE-2023-4966 ve CVE-2023-4967 olarak izleniyor. Bunlardan ilki, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı 9,4 olan hassas bilgilerin açığa çıkması güvenlik açığı, ikincisi ise CVSS puanı 8,2 olan hizmet reddi güvenlik açığıdır.
Citrix’e göre tehdit aktörlerinin artan hacmi bu güvenlik açıklarından ilkini hedef alıyor. Şirket yaptığı açıklamada şunları söyledi: “Artık oturum ele geçirmeyle tutarlı olaylara ilişkin raporlarımız var ve bu güvenlik açığından yararlanan hedefli saldırılara ilişkin güvenilir raporlar aldık.”
Citrix, etkilenen ürünlerin kullanıcılarına güncellenmiş, önerilen yapıları derhal yüklemelerini ve ayrıca önlem olarak tüm aktif ve kalıcı oturumları kapatmalarını şiddetle tavsiye ettiğini söyledi. Bunun nasıl yapılacağına ilişkin daha fazla ayrıntıyı Citrix’te bulabilirsiniz. Başka geçici çözüm bulunmadığını unutmayın.
CVE-2023-4966’nın istismarı, 25 Ekim’de AssetNote’taki araştırmacılar tarafından herkese açık bir kavram kanıtının (PoC) yayınlanmasının ardından daha da artabilir. AssetNote’tan Dylan Pindur, yazısında geçerli bir oturum belirteci elde etmek için güvenlik açığından nasıl yararlanabildiğini açıkladı.
Pindur, “Citrix NetScaler ile ilgili önceki sorunlar gibi, diğer derinlemesine savunma tekniklerinin ve hafifletici önlemlerin eksikliği nedeniyle sorun daha da kötüleşti” diye yazdı. “Hassas verileri geçici ara belleklerden temizlememek ve müşteri tarafından sağlanan veriler üzerinde daha sıkı doğrulama yapmak, hasarı en aza indirmek için uygulanabilecek en belirgin iki önlemdir.”
Bundan bu yana birçok kaynak tarama etkinliğinin arttığını belirtti. Bir açıklamada İnternet güvenliği uzmanı ShadowServer, daha önce Twitter olarak bilinen web sitesi X’te yayınlanan bir gönderide, bal küpü sensörlerinin CVE-2023-4966 ile ilgili “sorgularda keskin bir artış” gördüğünü söyledi.
23 Ekim itibarıyla ShadowServer, dünya çapında yaklaşık 9.000 savunmasız NetScaler örneğini gözlemlediğini söyledi; bunların yaklaşık 4.100’ü ABD’de, 850’si Almanya’da ve 480’i Birleşik Krallık’ta.
Rapid7 ayrıca daha fazla aktivite gördüğünü doğruladı. Yapılan açıklamada şu ifadelere yer verildi: “Rapid7 MDR, bu güvenlik açığından müşteri ortamında yararlanma olasılığını araştırıyor ancak CVE-2023-4966’nın ilk erişim vektörü olduğunu henüz yüksek bir güvenle doğrulayamıyor.
“Rapid7, CVE-2023-4966’nın etkisini azaltmak için acil eyleme geçilmesini öneriyor. Fidye yazılımı grupları da dahil olmak üzere tehdit aktörleri, tarihsel olarak Citrix NetScaler ADC güvenlik açıklarına büyük ilgi gösterdi. İstismarın artmasını bekliyoruz.”
Düzenli olarak saldırıya uğradı
Citrix NetScaler ADC ve Gateway aralarında yük dengeleme, güvenlik duvarları ve sanal özel ağlar da dahil olmak üzere bir dizi ağ ve güvenlik hizmetini denetler ve bu nedenle tehdit aktörleri ürün ailesindeki yeni güvenlik açıklarını bulmayı bilir ve bunları hızla istismar eder. .
Bu yılın başlarında, üç sıfır gün – CVE-2023-3466, siteler arası komut dosyası oluşturma kusurunun yansıması; CVE-2023-3467, bir ayrıcalık yükseltme güvenlik açığı; ve kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-3519, üçüncüsü olan RCE kusurunun, Çin devletine ait gelişmiş kalıcı tehdit (APT) grubu tarafından, olmayan bir sunucuya web kabuğu bırakmak için kullanılmasından sonra yaygın olarak dikkat çekmeye başladı. isimsiz bir kritik ulusal altyapı (CNI) operatöründe üretim NetScaler ADC ortamı.
Tehdit aktörü, bu web kabuğunu keşif eylemleri gerçekleştirmek ve kurbanın aktif dizininden (AD) veri sızdırmak için kullandı ve ardından başka bir etki alanı denetleyicisine yatay olarak geçmeye çalıştı; ancak bu noktada, cihazın ağ bölümlendirme kontrolleri bu girişimi engellediğinde keşfedildi.