Mandiant araştırmacıları, yakın zamanda yamalı bir Citrix NetScaler ADC/Gateway bilginin açığa çıkması güvenlik açığının (CVE-2023-4966) Ağustos 2023’ün sonlarından bu yana saldırganlar tarafından istismar edildiğini ortaya çıkardı.
CVE-2023-4966 Hakkında
Citrix’in 10 Ekim’de yayınlanan güvenlik tavsiye belgesinde, güvenlik açığının hassas bilgilerin ifşa edilmesine yol açabileceği belirtiliyor ancak saldırganlara ne tür bilgilerin ifşa edilebileceği açıklanmıyor.
CVE-2023-4966, kimlik doğrulaması olmadan uzaktan kullanılabilir ve başarılı bir saldırı, kullanıcı etkileşimine bağlı değildir.
Güvenlik açığı aşağıdaki NetScaler ADC ve Gateway cihazlarını etkilemektedir:
- NetScaler ADC ve NetScaler Gateway 14.1, 14.1-8.50 öncesi
- NetScaler ADC ve NetScaler Gateway 13.1, 13.1-49.15 öncesi
- NetScaler ADC ve NetScaler Gateway 13.0, 13.0-92.19’dan önce
- NetScaler ADC 13.1-FIPS, 13.1-37.164 öncesi
- NetScaler ADC 12.1-FIPS, 12.1-55.300 öncesi
- NetScaler ADC 12.1-NDcPP 12.1-55.300 öncesi
Yalnızca Ağ Geçidi (VPN sanal sunucusu, ICA Proxy, CVPN, RDP Proxy) veya yetkilendirme ve muhasebe (AAA) sanal sunucusu olarak yapılandırılmış cihazlar güvenlik açığından etkilenir. Citrix tarafından yönetilen bulut hizmetlerini veya Citrix tarafından yönetilen Uyarlanabilir Kimlik Doğrulamayı kullanan müşteriler etkilenmez.
Sıfır gün saldırıları
Saldırganlar profesyonel hizmetleri, teknolojiyi ve devlet kuruluşlarını hedef aldı. Mevcut kimlik doğrulamalı oturumları ele geçirmek için CVE-2023-4966’yı kullandılar; bu, çok faktörlü (veya herhangi bir türdeki) kimlik doğrulama gereksinimlerini etkili bir şekilde atlayabildikleri anlamına geliyor.
“Bu oturumlar, CVE-2023-4966 etkisini hafifletmeye yönelik güncellemenin uygulanmasından sonra da devam edebilir. Ayrıca, oturum verilerinin yama dağıtımından önce çalındığı ve daha sonra bir tehdit aktörü tarafından kullanıldığı oturum ele geçirme olaylarını da gözlemledik” diye belirtti Mandiant.
“Kimlik doğrulamalı oturumun ele geçirilmesi, kimlik veya oturuma izin verilen izinlere ve erişim kapsamına bağlı olarak daha fazla alt erişime neden olabilir. Bir tehdit aktörü bu yöntemi ek kimlik bilgilerini toplamak, yanal olarak yönlendirmek ve ortamdaki ek kaynaklara erişim kazanmak için kullanabilir.”
Ağustos ayı sonlarında bir fidye yazılımı grubu, CVE-2023-3519’u kullanarak internete açık yama yapılmamış Citrix NetScaler sistemlerini hedef aldı. Yama Temmuz ayından bu yana mevcut.
Ne yapalım?
Citrix, müşterilerini mümkün olan en kısa sürede NetScaler ADC ve NetScaler Gateway’in sabit bir sürümüne güncelleme yapmaya çağırıyor. Hızlı bir yükseltme mümkün değilse Mandiant, cihazlara erişimin yalnızca güvenilir IP adresi aralıklarıyla sınırlandırılmasını önerir.
Ancak yalnızca savunmasız cihazların güncellenmesi veya erişiminin kısıtlanması yeterli değildir: kurumsal savunucular, cihazlarının saldırganlar tarafından ele geçirilip geçirilmediğini de kontrol etmelidir.
Düzeltme eki uygulandıktan sonra yöneticilerin tüm etkin oturumları durdurması, kimlik bilgilerini döndürmesi ve web kabukları veya arka kapılar bulunursa cihazları temiz kaynaklı bir görüntüyle yeniden oluşturması gerekir.
Şirket, “Bugüne kadar Mandiant, NetScaler cihazlarında bulunan ve istismar kanıtlarını kaydeden herhangi bir günlük veya başka eser tespit etmedi” dedi. Yine de yararlı araştırma ve tespit ipuçları sağladılar.