CERT-In, vahşi ortamda istismar edildiği tespit edilen bir Citrix Netscaler sunucusu güvenlik açığı hakkında uyarılar yayınlamak için küresel siber güvenlik tavsiyelerine katıldı.
Uyarıda, binlerce Citrix Netscaler Uygulama Teslim Denetleyicisi (ADC) ve Ağ Geçidi sunucusunun şu anda çevrimiçi durumda olduğu ve kritik uzaktan kod yürütme (RCE) saldırılarına karşı savunmasız olduğu belirtildi.
CVE-2023-3519 olarak tanımlanan Citrix Netscaler sunucusu güvenlik açığı, vahşi ortamda tehdit aktörleri tarafından sıfır gün olarak kullanıldığı tespit edildikten sonra siber güvenlik haberlerinde ortaya çıktı.
Ağırlıklı olarak bilgi teknolojisi endüstrisinde kullanılan ADC’ler, kurumsal ve bulut veri merkezlerinde çok önemli bir rol oynamaktadır.
Birincil hedefleri, uygulamaların sorunsuz bir şekilde geliştirilmesini ve kullanılabilirliğini, güvenliğini ve performansını sağlamaktır.
ADC’ler, çeşitli işlevler sunarak kurumsal uygulamaların ağ üzerinden dağıtımını optimize eder ve böylece genel verimlilik ve güvenilirliğe katkıda bulunur.
Citrix Netscaler sunucu güvenlik açığı: Ayrıntılar
Çeşitli tahminler, sürüm bilgilerine dayalı olarak CVE-2023-3519 kodlu Citrix Netscaler sunucu güvenlik açığından yararlanan saldırılara karşı en az 15.000 cihazın açık olduğunu gösteriyor.
Citrix en son revizyonlarında sürüm karma bilgilerini kısa bir süre önce kaldırdığından, kuruluş sürüm karmalarını analiz ederek yama uygulanmamış örnekleri belirleyebilir.
Bu, hala sürüm karmaları sağlayan örneklerin güncellenmediği ve istismara açık olabileceği anlamına gelir.
Ancak, açığa çıkan Citrix sunucularının toplam sayısı bildirilenden daha yüksek olabilir.
İstismara açık olduğu bilinen bazı savunmasız revizyonlarda sürüm karmaları yoktur. Sonuç olarak, bu bulut sunucuları etiketlenmedi ve açığa çıkan Citrix sunucularının sayısına eklenmedi, bu da potansiyel eksik saymaya yol açtı.
Bir CISA uyarısı, “Haziran 2023’te tehdit aktörleri, kritik bir altyapı kuruluşunun üretim dışı ortamı NetScaler ADC cihazına bir web kabuğu bırakmak için bu güvenlik açığından sıfır gün olarak yararlandı” dedi.
“Webshell, aktörlerin kurbanın aktif dizininde (AD) keşif gerçekleştirmesini ve AD verilerini toplayıp sızdırmasını sağladı. Aktörler yanal olarak bir etki alanı denetleyicisine taşınmaya çalıştı ancak aygıt için ağ bölümleme kontrolleri hareketi engelledi.
Citrix güvenlik açığı düzeltme eki ve daha fazlası
Citrix, durumun ciddiyetini kabul etti ve RCE güvenlik açığını gidermek için 18 Temmuz’da güvenlik güncellemeleri yayınladı.
Şirket, müşterilerine sistemlerini potansiyel saldırılardan korumak için acilen yamaları yüklemelerini tavsiye etti.
Citrix, ağ geçitleri (VPN sanal sunucusu, ICA Proxy, CVPN, RDP Proxy) veya kimlik doğrulama sanal sunucuları (AAA sunucusu) olarak yapılandırılan yama uygulanmamış Netscaler cihazlarının istismar açısından daha yüksek risk altında olduğunu özellikle vurguladı.
Sıfır günlük RCE güvenlik açığının (CVE-2023-3519), bir tehdit aktörünün bir bilgisayar korsanı forumunda kamuya açık bir şekilde reklamını yaptığı Temmuz ayının ilk haftasından bu yana çevrimiçi olarak mevcut olduğu keşfedildi.
Bu kamuya açıklama, kötü niyetli aktörler tarafından yaygın olarak sömürü potansiyelini artırdı ve savunmasız sistemlere yama uygulama aciliyetinin altını çizdi.
Citrix, RCE güvenlik açığına ek olarak, aynı gün içinde diğer iki yüksek önem dereceli güvenlik açığını (CVE-2023-3466 ve CVE-2023-3467) ele aldı.
CVE-2023-3466, saldırganların yansıtılan siteler arası komut dosyası çalıştırma (XSS) saldırıları başlatmasına izin verirken, CVE-2023-3467, saldırganların kök izinleri elde etmek için ayrıcalıkları yükseltmesine olanak tanır.
CVE-2023-3467, güvenlik açığı bulunan cihazların yönetim arayüzüne IP (NSIP) veya bir Alt Ağ IP (SNIP) adresi aracılığıyla kimliği doğrulanmış erişim gerektirir, bu da istismarı daha zor hale getirir, ancak yine de önemli bir risk oluşturur.
Durumun aciliyeti, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nın (CISA) 19 Temmuz’da ABD federal kurumlarına, ağlarındaki Citrix sunucularını 9 Ağustos’a kadar devam eden saldırılara karşı korumalarını gerektiren bir emir vermesine yol açtı.
CISA ayrıca, CVE-2023-3519 güvenlik açığının, Haziran 2023’te bir ABD kritik altyapı kuruluşunun sistemlerini ihlal etmek için başarıyla kullanıldığı konusunda uyardı.
Citrix Netscaler sunucusu güvenlik açığı yönetimi
Mandiant tarafından hazırlanan bir tehdit değerlendirme raporunda, “Bu tehdit aktörünün kapsamı ve karmaşıklığı göz önüne alındığında, Mandiant, kuruluşların istismar edilen tüm cihazları yeniden inşa etmelerini tavsiye ediyor” dedi.
“ADC yükseltme işlemi, tehdit aktörlerinin web kabukları oluşturabileceği dizinlerin tamamının olmasa da bazılarının üzerine yazar ve potansiyel olarak cihazı güvenliği ihlal edilmiş bir durumda bırakır.”
Rapora göre, bunu yapmamak, ağlarını potansiyel uzaktan kod yürütme, veri ihlalleri ve yetkisiz erişime maruz bırakarak hem etkilenen kuruluşlar hem de kullanıcıları için ciddi sonuçlara yol açabilir.
CISA uyarısı, bir uzlaşma tespiti durumunda, kuruluşların potansiyel riskleri azaltmak için hızlı ve kararlı adımlar atması gerektiğini söyledi.
İlk olarak, güvenlik açığının daha fazla yayılmasını önlemek için potansiyel olarak etkilenen tüm ana bilgisayarları derhal karantinaya almalı veya çevrimdışına almalıdırlar. Ardından, güvenliği ihlal edilmiş ana bilgisayarların imajı yeniden oluşturulmalı ve kötü amaçlı öğelerin tamamen ortadan kaldırılması sağlanmalıdır.
Ek bir güvenlik önlemi olarak, yetkisiz erişimin iptal edilmesini sağlamak için yeni hesap kimlik bilgileri sağlanmalıdır.
Güvenlik açığının boyutunu anlamak için kuruluşlar, çalışan süreçler/hizmetler, olağandışı kimlik doğrulama girişimleri ve son ağ bağlantıları gibi yapıları toplamalı ve kapsamlı bir şekilde incelemelidir.