Citrix bugün yöneticileri, tüm NetScaler ADC ve Ağ Geçidi cihazlarını CVE-2023-4966 güvenlik açığından yararlanan devam eden saldırılara karşı derhal koruma altına almaları konusunda uyardı.
Şirket, bu kritik hassas bilgilerin ifşa edilmesi kusurunu (CVE-2023-4966 olarak izlenen) iki hafta önce yamaladı ve kullanıcı etkileşimi gerektirmeyen, düşük karmaşıklıktaki saldırılarda kimliği doğrulanmamış saldırganlar tarafından uzaktan yararlanılabileceği için ona 9,4/10 önem derecesi atadı.
NetScaler cihazlarının saldırılara karşı savunmasız olması için Ağ Geçidi (VPN sanal sunucusu, ICA Proxy, CVPN, RDP Proxy) veya AAA sanal sunucusu olarak yapılandırılması gerekir.
Düzeltme yayınlandığında şirketin bu güvenlik açığından yararlanıldığına dair hiçbir kanıtı olmasa da, bir hafta sonra Mandiant tarafından devam eden bir güvenlik açığı ortaya çıktı.
Siber güvenlik şirketi, tehdit aktörlerinin, kimlik doğrulama oturumlarını çalmak ve hesapları ele geçirmek için Ağustos 2023’ün sonlarından bu yana CVE-2023-4966’yı sıfır gün olarak kullandığını, bunun da saldırganların çok faktörlü kimlik doğrulamayı veya diğer güçlü kimlik doğrulama gereksinimlerini atlamasına yardımcı olabileceğini söyledi.
Mandiant, güvenliği ihlal edilmiş oturumların yama uygulamasından sonra bile devam ettiği ve güvenliği ihlal edilen hesapların izinlerine bağlı olarak saldırganların ağ üzerinde yanal olarak hareket edebileceği veya diğer hesapları tehlikeye atabileceği konusunda uyardı.
Ayrıca Mandiant, CVE-2023-4966’nın devlet kurumlarının ve teknoloji şirketlerinin altyapısına sızmak için kullanıldığı örnekler buldu.
Yöneticilerden sistemleri devam eden saldırılara karşı korumaları istendi
Citrix bugün, “Artık oturum ele geçirmeyle tutarlı olaylara ilişkin raporlara sahibiz ve bu güvenlik açığından yararlanan hedefli saldırılara ilişkin güvenilir raporlar aldık” diye uyardı.
“Etkilenen yapıları kullanıyorsanız ve NetScaler ADC’yi ağ geçidi (VPN sanal sunucusu, ICA proxy, CVPN, RDP proxy) veya AAA sanal sunucusu olarak yapılandırdıysanız, bu güvenlik açığı ortadan kaldırıldığı için önerilen yapıları hemen yüklemenizi kesinlikle öneririz. kritik olarak belirlendi.”
Citrix, “bir sistemin tehlikeye girip girmediğini belirlemek için adli analiz sağlayamadığını” ekledi.
Ayrıca Citrix, aşağıdaki komutları kullanarak tüm aktif ve kalıcı oturumların sonlandırılmasını önerir:
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
kill aaa session -all
clear lb persistentSessions
NetScaler ADC ve NetScaler Ağ Geçidi cihazları, ağ geçitleri (VPN sanal sunucusu, ICA proxy, CVPN veya RDP proxy dahil) veya AAA sanal sunucular (örneğin tipik yük dengeleme yapılandırmaları dahil) olarak kurulmadıklarında CVE-2023’e karşı savunmasız değildir. -4966 saldırı.
Citrix’in onayladığı gibi buna NetScaler Uygulama Teslimat Yönetimi (ADM) ve Citrix SD-WAN gibi ürünler de dahildir.
Geçtiğimiz Perşembe günü CISA, Bilinen İstismarlar ve Güvenlik Açıkları Kataloğuna CVE-2023-4966’yı ekleyerek federal kurumlara sistemlerini 8 Kasım’a kadar aktif istismara karşı korumalarını emretti.