Citrix NetScaler Uygulama Teslim Denetleyicisi (ADC) ve Citrix NetScaler Gateway’deki bir sıfır günlük güvenlik açığı, Çin hükümeti tarafından desteklenen ve belirtilmemiş bir gelişmiş kalıcı tehdit (APT) aktörü tarafından istismar ediliyor gibi görünüyor ve derhal yama yapılması gerekiyor.
Citrix’in 18 Temmuz Salı günü yayınlanan ilk danışma belgesine göre, Citrix tarafından yamalanan üç güvenlik açığı, NetScaler ADC (önceden Citrix ADC) ve NetScaler Gateway (önceden Citrix Gateway) hatlarının birden çok sürümünü etkiliyor.
Yansıtılmış bir siteler arası betik hatası olan CVE-2023-3466 olarak izlenirler; Bir ayrıcalık yükseltme güvenlik açığı olan CVE-2023-3467; ve kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-3519.
Bunlardan endişe konusu, CVSS puanı 9,8 olan RCE güvenlik açığı CVE-2023-3519’dur ve 20 Temmuz’da ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi’nin (CISA) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesine eklenen de bu hatadır.
KEV listesine bir güvenlik açığının eklenmesi, ABD hükümet organlarının belirli bir tarihe kadar bu güvenlik açığını ele almasını zorunlu kılar. Bunun ötesinde bir ağırlığı yoktur, ancak bu listede yer alması, tüm kuruluşların dikkat etmesi gerektiğinin kesin bir işaretidir.
CISA’ya göre, tehdit aktörü CVE-2023-3519’dan yararlanarak bir kritik ulusal altyapı (CNI) operatörüne ait üretim dışı bir ortam olan NetScaler ADC cihazına bir web kabuğu bıraktı.
RCE güvenlik açığı CVE-2023-3519, 9.8 CVSS puanına sahiptir ve 20 Temmuz’da ABD CISA’nın Bilinen Yararlı Güvenlik Açıkları listesine eklenmiştir. Bu listede yer almak, tüm kuruluşlar tarafından dikkat edilmesi gerektiğine dair kesin bir işarettir.
Aktör, bu web kabuğunu kullanarak kurbanın aktif dizininde (AD) keşif eylemleri gerçekleştirmeye ve buradan veri sızdırmaya çalıştı. Daha sonra yanal olarak bir etki alanı denetleyicisine taşınmaya çalıştılar, ancak bu durumda cihazın ağ bölümleme kontrolleri devreye girdiğinde engellendiler.
Bu örnekte, mağdur kuruluş, uzlaşmayı hızlı bir şekilde tespit edebildi ve olayı usulüne uygun olarak hem CISA’ya hem de Citrix’e bildirdi.
CVE-2023-3519’un etkisini değerlendiren ve ilk araştırmada kilit rol oynayan Mandiant araştırmacıları, ADC cihazlarının ağırlıklı olarak BT sektöründe kullanılması ve kurumsal bulut veri merkezlerinin hayati bir bileşenini oluşturması nedeniyle, kurumsal uygulamaların en iyi şekilde sunulmasını sağlama söz konusu olduğunda cazip bir hedef sunduklarını söyledi.
Bununla birlikte, James Nugent, Foti Castelan, Doug Bienstock, Justin Moore ve Josh Murchie’den oluşan analist ekibi, Çinli tehdit aktörlerinin izlemesi daha zor olabileceği ve çoğu zaman izinsiz giriş tespit çözümlerini desteklemediği için genellikle ağın ucunda oturan cihazları hedef aldığını yazdı.
Ekip, “Mandiant, bu etkinliği şimdiye kadar toplanan kanıtlara dayanarak ilişkilendiremez” diye yazdı. “Ancak bu tür faaliyetler, China-nexus aktörlerinin 2022’de Citrix ADC’lere karşı bilinen yeteneklere ve eylemlere dayalı önceki operasyonlarıyla tutarlı.
“Çin-nexus siber tehdit ortamının evrimi, ekosisteminin mali suç kümelerini daha yakından yansıttığı, bağlantılar ve kod örtüşmesinin kapsamlı bir tablo sunması gerekmediği ölçüde gelişti.”
Mandiant, yamayı uygulamanın yanı sıra, etkilenen herhangi bir cihazın istismar edildiği tespit edilirse, bunların derhal yeniden oluşturulmasını tavsiye ediyor. Bu yükseltme işlemi, tehdit aktörlerinin web kabukları bırakabileceği dizinlerin tamamının olmasa da bazılarının üzerine yazacaktır.
Güvenlik ekipleri ayrıca, ADC veya Ağ Geçidi araçlarının yönetim bağlantı noktalarının sınırsız internet erişimine ihtiyaç duyup duymadığını yeniden değerlendirmek ve erişimi yalnızca gerekli IP adresleriyle sınırlandırmak isteyebilir, bu da istismar sonrası faaliyetleri daha da zorlaştıracaktır.
Araştırma ekibi, Mandiant’ın yazısında belirtilen diğer bazı taktik, teknik ve prosedürlere (TTP’ler) dayanarak, etkilenen kuruluşların yapılandırma dosyasında depolanan tüm sırları ve taşıma katmanı güvenliği (TLS) bağlantıları için kullanılabilecek tüm özel anahtarları veya sertifikaları döndürmesini de tavsiye ediyor.
Ayrıca, kimlik bilgilerinin açığa çıkmasına karşı koruma sağlamak ve bir tehdit aktörünün yanal hareket için kimlik bilgileri elde etme yeteneğini sınırlamak için etki alanındaki hassas hesapları sağlamlaştırmak isteyebilirler.