Araştırmacılar neredeyse 2000 arka kapılı Citrix NetScalers buldular ve bunların çoğu web kabuğu şeklindeki arka kapı düşürüldükten sonra yamalandı.
Fox-IT, Hollanda Güvenlik Açığı Açıklama Enstitüsü (DIVD) ile ortak bir çabayla Citrix NetScalers’ın büyük ölçekli bir istismar kampanyasını ortaya çıkardı. 1900’den fazla örneğin bir web kabuğu şeklinde bir arka kapıya sahip olduğu bulundu. Bu arka kapılı NetScalers, yama uygulanmış ve yeniden başlatılmış olsalar bile, bir saldırgan tarafından istenildiği zaman ele geçirilebilir.
Web kabuğu, güvenliği ihlal edilmiş bir web uygulamasında kalıcı erişimi artırmak ve sürdürmek amacıyla bir saldırgan tarafından kullanılan kötü amaçlı bir komut dosyasıdır. Komut dosyaları, uzaktan erişilebilmeleri için internete bakan sunuculara ve cihazlara yerleştirilir.
Temmuz ayında, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtına dayalı olarak, Citrix NetScaler ADC ve Citrix NetScaler Gateway’deki Bilinen Yararlı Güvenlik Açıkları Kataloğuna kritik bir kimliği doğrulanmamış uzaktan kod yürütme (RCE) güvenlik açığı ekledi.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Siber suçluların arka kapıyı yerleştirmek için kullandıkları CVE şu şekilde listelenmiştir:
CVE-2023-3519 (CVSS puanı 10 üzerinden 9,8): Citrix NetScaler ADC ve NetScaler Gateway kod yerleştirme güvenlik açığı. Güvenlik açığı, kimliği doğrulanmamış RCE’ye yol açabilir. Ağ Geçidi (VPN sanal sunucusu, ICA Proxy, CVPN, RDP Proxy) veya kimlik doğrulama, yetkilendirme ve hesap oluşturma (AAA) sanal sunucusu olarak yapılandırılmış cihazları etkiler.
Fox-IT (Hollanda Güvenlik Açığı Açıklama Enstitüsü ile işbirliği içinde), güvenliği ihlal edilmiş sistemleri belirlemek için web kabuklarını taradı. 14 Ağustos 1828 itibariyle, 1828 NetScalers arka kapıda kaldı, bunlardan 1248’i yamalandı ancak hala savunmasız durumda. Bu nedenle, pek çok yönetici güvenlik açığı için yama yapılması gerektiğini görmüş, ancak yama uygulamanın zaten kurulmuş bir arka kapıyla başa çıkmak için yeterli olmadığını fark etmemiş gibi görünüyor.
Birkaç faktör, bu sömürü kampanyasının en büyük bölümünün 20 Temmuz sonu ile 21 Temmuz başı arasında gerçekleştiğini gösteriyor. Bazı sistemlerin güvenliği birden çok web kabuğuyla ele geçirilmiştir. Toplamda, taramalar, güvenliği ihlal edilmiş toplam 1952 NetScalers üzerinde 2491 web kabuğunu ortaya çıkardı.
Kampanya muhtemelen Avrupa kuruluşlarını hedef aldı. Etkilenen ilk beş ülkeden yalnızca biri Avrupa dışında, Japonya’da bulunuyor. Yalnızca Almanya, 500’den fazla arka kapı örneğinden sorumludur.
10 Ağustos 2023’te DIVD, web kabuğundan etkilenen kuruluşlara ulaşmaya başladı. Ağ sahiplerini ve ulusal CERT’leri bilgilendirmek için halihazırda var olan ağını ve sorumlu açıklama yöntemlerini kullandı. Ancak böyle bir bildirimi beklemek için hiçbir neden yoktur.
Önleme, tespit ve müdahale
Citrix sunucunuz güvenli bir sürüme güncellenmediyse, özellikle aşağıdaki özelliklerden herhangi birini kullanıyorsanız, mümkün olan en kısa sürede sunucuya yama uygulamanızı önemle tavsiye ederiz:
- SSL VPN’i
- ICA Proxy’si
- CVPN
- RDP Proxy’si
- AAA sanal sunucu
Bu sunuculardan birini kullanmıyorsanız, gelecekte bu işlevlerden birini kullanmaya başladığınızda cihazınızın savunmasız hale gelmesini önlemek için güvenlik açığı olmayan bir sürüme yama yapmanızı öneririz.
Yamanın uygulanıp uygulanmadığına ve ne zaman uygulandığına bakılmaksızın, NetScalers’ınızda bir Tehlike Göstergesi kontrolü yapmanız önerilir.
Adli yapıların bulunabileceği Citrix cihazlarının vahşi kullanımlarını belgeleyen çeşitli kaynaklar mevcuttur:
- Mandiant, canlı sistemlerde Uzlaşma Göstergelerini kontrol etmek için bir bash betiği sağladı. Bu komut dosyası iki kez çalıştırılırsa, komut dosyası her çalıştırıldığında belirli aramalar NetScaler günlüklerine yazılacağı için yanlış pozitif sonuçlar vereceğini unutmayın.
Citrix NetScaler’ınızın güvenliğinin ihlal edildiğini fark ederseniz, sıfırdan temiz bir sistem kurduğunuzdan veya en azından güvenli bir anlık görüntüden yedekleme/geri yükleme yaptığınızdan emin olun. Ama önce veya cihazın hem diskinin hem de belleğinin adli tıp kopyasından, arka kapının saldırganlar tarafından kullanılıp kullanılmadığını araştırın. Web kabuğunun kullanımı, NetScaler erişim günlüklerinde görünmelidir. Web kabuğunun yetkisiz faaliyetler gerçekleştirmek için kullanıldığına dair göstergeler varsa, rakibin NetScaler’dan yatay olarak hareket etmek için başarılı adımlar atıp atmadığını görmek için daha geniş bir araştırma yapmak önemlidir.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.