Bu hafta dünyanın en büyük bankası olan Çin Halk Cumhuriyeti Sanayi ve Ticaret Bankası’na (ICBC) yapılan yıkıcı fidye yazılımı saldırısı, Citrix’in geçen ay NetScaler teknolojisinde ortaya çıkardığı kritik bir güvenlik açığıyla bağlantılı olabilir. Bu durum, kuruluşların henüz yapmamışlarsa neden tehdide karşı hemen yama yapmaları gerektiğini ortaya koyuyor.
“CitrixBleed” güvenlik açığı (CVE-2023-4966) olarak adlandırılan güvenlik açığı, Citrix NetScaler ADC ve NetScaler Gateway uygulama dağıtım platformlarının birden fazla şirket içi sürümünü etkiler.
Güvenlik açığı, CVSS 3.1 ölçeğinde mümkün olan maksimum 10 üzerinden 9,4 önem derecesine sahip ve saldırganlara hassas bilgileri çalma ve kullanıcı oturumlarını ele geçirme yolu sunuyor. Citrix, kusurun uzaktan istismar edilebilir olduğunu ve düşük saldırı karmaşıklığı içerdiğini, özel ayrıcalıkların bulunmadığını ve kullanıcı etkileşiminin bulunmadığını belirtti.
Kitle CitrixKanama İstismarı
Tehdit aktörleri, Citrix’in 10 Ekim’de etkilenen yazılımın güncellenmiş sürümlerini yayınlamasından birkaç hafta önce, Ağustos ayından bu yana kusurdan aktif olarak yararlanıyor. Kusuru keşfeden ve Citrix’e bildiren Mandiant’taki araştırmacılar, kuruluşların etkilenen her bir cihazdaki tüm aktif oturumları sonlandırmasını da şiddetle tavsiye etti. Kimlik doğrulamalı oturumların güncellemeden sonra bile devam etme potansiyeli nedeniyle NetScaler cihazı.
Devlete ait ICBC’nin ABD koluna yapılan fidye yazılımı saldırısı, istismar faaliyetinin halka açık bir tezahürü gibi görünüyor. Banka, bu hafta başında yaptığı açıklamada, 8 Kasım’da bazı sistemlerini bozan bir fidye yazılımı saldırısına maruz kaldığını açıkladı. Financial Times ve diğer kaynaklar, saldırının arkasında LockBit fidye yazılımı operatörlerinin olduğu konusunda kendilerini bilgilendiren kaynakların aktardığına göre.
Güvenlik araştırmacısı Kevin Beaumont, 6 Kasım’da ICBC kutusunda yama yapılmamış Citrix NetScaler’ın LockBit aktörleri için potansiyel bir saldırı vektörü olduğunu belirtti.
Beaumont, “Bu yazıyı yazarken 5.000’den fazla kuruluş hâlâ #CitrixBleed’i yamamadı” dedi. “Tüm kimlik doğrulama biçimlerinin tam ve kolay bir şekilde atlanmasına olanak tanıyor ve fidye yazılımı grupları tarafından istismar ediliyor. Kuruluşların içine işaret etmek ve tıklamak kadar basit; saldırganlara tamamen etkileşimli bir Uzak Masaüstü Bilgisayarı sağlıyor.” [on] diğer Son.”
Kesintisiz NetScaler cihazlarına yönelik saldırılar, son haftalarda toplu istismar statüsüne büründü. Kusurun kamuya açık teknik ayrıntıları, faaliyetlerin en azından bir kısmını körükledi.
Bu hafta ReliaQuest’ten gelen bir rapor, en az dört organize tehdit grubunun şu anda kusuru hedef aldığını gösterdi. Gruplardan biri CitrixBleed’den otomatik olarak yararlanıyor. ReliaQuest, 7 Kasım ile 9 Kasım arasında “Citrix Bleed istismarını içeren çok sayıda benzersiz müşteri olayı” gözlemlediğini bildirdi.
ReliaQuest, “ReliaQuest, müşteri ortamlarında tehdit aktörlerinin Citrix Bleed istismarını kullandığı çok sayıda vaka tespit etti” dedi. Şirket, “İlk erişime sahip olan düşmanlar, gizlilik yerine hıza odaklanarak ortamı hızlı bir şekilde sıraladılar” dedi. ReliaQuest, bazı olaylarda saldırganların verileri sızdırdığını, diğerlerinde ise fidye yazılımı dağıtmaya çalıştıklarını söyledi.
İnternet trafiği analiz firması GreyNoise’dan elde edilen son veriler, CitrixBleed’den yararlanmaya yönelik girişimlerin en az 51 benzersiz IP adresinden gerçekleştiğini gösteriyor; bu rakam Ekim sonunda 70 civarındaydı.
CISA, CitrixBleed Hakkında Kılavuz Yayımladı
Bu istismar faaliyeti, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) bu hafta CitrixBleed tehdidine yönelik yeni kılavuzlar ve kaynaklar yayınlamasına yol açtı. CISA, organizasyonları Citrix’in geçen ay yayınladığı “önemsiz cihazları güncellenmiş sürümlere güncellemeye” teşvik ederek hatanın “aktif, hedefli bir şekilde istismar edildiği” konusunda uyardı.
Güvenlik açığının kendisi, hassas bilgilerin açığa çıkmasına olanak tanıyan bir arabellek taşması sorunudur. Kimlik Doğrulama, Yetkilendirme ve Hesaplama (AAA) olarak veya VPN sanal sunucusu veya ICA veya RDP Proxy’si gibi bir ağ geçidi cihazı olarak yapılandırıldığında NetScaler’ın şirket içi sürümlerini etkiler.