ABD yetkilileri kritik bir güvenlik açığını kontrol altına almak için çabalıyor Citrix Netscaler Uygulama Dağıtımı Denetleyicisi ve Netscaler Ağ GeçidiŞirketlerin güvenli uzaktan erişim sağlamasına yardımcı olan, yaygın olarak kullanılan ağ oluşturma cihazları.
Dünya çapında binlerce kuruluş bu teknolojiyi kullanıyor ve araştırmacılar, finansal hizmet şirketleri, savunma yüklenicileri, hukuk firmaları, teknoloji sağlayıcıları ve devlet kurumları dahil olmak üzere çok çeşitli sektörleri hedef alan saldırılar gördü.
İki güvenlik açığı olmasına rağmen tehdit aktörleri bu güvenlik açığını geniş çapta istismar etti CVE-2023-4966araştırmacıların CitrixBleed adını verdikleri kritik bir arabellek taşması güvenlik açığı. Şu ana kadar CVE, LockBit 3.0 ve AlphV/BlackCat dahil olmak üzere birçok tehdit grubunun fidye yazılımı saldırıları ve diğer kötü amaçlı faaliyetleriyle ilişkilendirildi.
Saldırıların hızı ve ölçeği en deneyimli siber güvenlik uzmanlarını bile zora soktu. Şu ana kadar saldırılar dünyadaki en gelişmiş ve sıkı denetime tabi şirketlerin bazılarını etkiledi.
Pek çok hareketli parçanın bulunduğu CitrixBleed hakkında bilmeniz gerekenler:
Neler oluyor?
Citrix, 10 Ekim’de Netscaler ADC ve Netscaler Gateway’deki güvenlik açıklarına ilişkin olarak şu şekilde listelenen bir güvenlik bülteni yayınladı: CVE-2023-4966 Ve CVE-2023-4967. Güvenlik araştırmacılarına göre teknoloji, yük dengeleme, uygulamaların daha hızlı çalışmasına yardımcı olmak ve güvenli uzaktan erişim için kullanılıyor.
Tehdit grupları, yamalamanın yapıldığı durumlarda bile yaklaşık iki ay boyunca CVE-2023-4966’dan geniş çapta yararlandı. Mandiant ve diğer tehdit araştırmacıları şu uyarıda bulundu: Tehdit aktörleri mevcut yamayı atlayabilir önceki kullanıcı oturumlarının silinmediği durumlarda.
Siber Güvenlik ve Altyapı Güvenliği Ajansı güvenlik açıkları konusunda kuruluşları uyaran güvenlik paydaşları korosuna katıldı ve daha sonra CVE-2023-4966’yı listesine ekledi. Bilinen İstismar Edilen Güvenlik Açığı liste.
Yama çalışıyor mu?
CitrixBleed’in istismarı, 10 Ekim’de yayınlanan bir yamaya rağmen birkaç haftadır arttı.
Citrix onaylanmış oturumun ele geçirilmesi bir şekilde 23 Ekim blog yazısı ve güvenlik açığından yararlanan hedefli saldırılara ilişkin “güvenilir raporlar” aldığını söyledi. Citrix, 10 Ekim yamasından önce herhangi bir istismardan haberdar olmadığını iddia etse de müşterilerini önerilen yapıları yüklemeye çağırdı.
Ekim ortasında, Mandiant acil bir uyarı paylaştı Bilgisayar korsanlarının kimliği doğrulanmış oturumları ele geçirebildiği ve çok faktörlü kimlik doğrulamayı atlayabildiği ağustos ayına kadar uzanan gözlemlenen istismar hakkında. Oturum verileri de yama dağıtımından önce çalındı ve daha sonra tehdit aktörleri tarafından kullanıldı.
“Netscaler cihazlarını güncelleyen kuruluşlarda oturumun ele geçirildiğini gözlemledik” Charles Carmakal, Mandiant Consulting’in CTO’su, Google Cloude-posta yoluyla söyledi.
Mandiant, gelecekteki saldırıları önlemek için kullanıcıları tüm aktif veya kalıcı oturumları sonlandırmaları konusunda uyardı.
Palo Alto Networks’ün verileri, 8 Ekim’de yani yamanın yayınlanmasından iki gün önce, Gateway/ADC’nin potansiyel olarak savunmasız sürümlerini çalıştıran 20.750 sistemin bulunduğunu gösteriyor. Bu sayı 15 Ekim itibarıyla 7.984 yama yapılmamış sürüme düştü.
Mandiant, 10 Ekim öncesinde bir tehdit aktörünün Netscaler oturumlarını bilinmeyen bir yolla ele geçirdiği vakaları araştırdıklarını söyledi. 2 Kasım tarihli bir blog gönderisine göre.
Carmakal, e-posta yoluyla şunları söyledi: “Ekim 2023’te bir izinsiz girişi araştırıyorduk ve mevcut kanıtlara göre mantıklı olmayan bazı faaliyetler vardı.” “CVE-2023-4966 açıklandıktan sonra, Citrix’in yayınladığı bilgileri, CVE-2023-4966’nın istismarının ilk erişim vektörü olduğunu belirlemek için kullanabildik.”
Ancak Citrix, yamanın dahili ekip tarafından geliştirildiğini söyleyerek, kimsenin şirkete daha önce herhangi bir istismar konusunda bilgi vermediğini defalarca söyledi.
İsmin ortaya çıktığı yer
Güvenlik açığının gelişiminde önemli bir gelişme, 25 Ekim’de Assetnote’un piyasaya sürülmesiyle gerçekleşti. bir kavram kanıtı, araştırmayla birlikte. Avustralya merkezli firma o dönemde tarihi HeartBleed güvenlik açığına atıfta bulunarak güvenlik açığını CitrixBleed olarak adlandırmıştı.
Assetnote yöneticilerine göre, yamalanan iki haftalık bir güvenlik açığından başarıyla yararlanılması, satıcı güvenlik yönetimindeki sorunları ve zorlukları vurguluyor.
“Üçüncü taraf satıcı yazılımları ve cihazları çoğu kuruluş için kör bir noktayı temsil ediyor ve bizce asıl ‘gölge BT’ sorunu bunlar.” Michael Gianarakis, Assetnote kurucu ortağı ve CEO’su, e-posta yoluyla söyledi. “Bu sistemler şirketlerin içinde yaygın olarak kullanılıyor ve bu kuruluşların, sundukları güvenlik risklerine ilişkin etkili ve proaktif görünürlük elde etmelerinin çok az yolu var.”
Kim etkilendi?
Şu ana kadar CitrixBleed güvenlik açıklarıyla bağlantılı birçok yüksek profilli güvenlik olayı yaşandı.
Ekim ayı sonlarında Boeing, LockBit tehdit grubunun fidye yazılımı iddiasına ilişkin resmi bir soruşturmanın parçası olarak kolluk kuvvetleriyle birlikte çalışmaya başladı. Fidye yazılımı grubu neredeyse 45 gigabayt veri sızdırdı veri Boeing’den çalındığı bildirildi.
Daha sonra Boeing gönüllü olarak paylaşılan TTP’ler ve IOC’ler yetkililere yapılan LockBit saldırısından kaynaklanıyor.
Ancak Boeing yalnız değil. CitirixBleed ayrıca banka operasyonlarını aksatan iki finansal hizmet firmasını da yakaladı.
ICBC Finansal HizmetlerÇin Sanayi ve Ticaret Bankası’nın bir yan kuruluşu olan , Kasım ayının başlarında, araştırmacı Kevin Beaumont’u tehdit eden ve daha sonra CitrixBleed ile ilişkilendirilen bir fidye yazılımı saldırısını açıkladı.
Beaumont ayrıca CitrixBleed güvenlik açığını bir siber saldırıyla ilişkilendirdi. Trellance Cooperative Holdings’in bir yan kuruluşu olan Devam Eden Operasyonlarbuna yol açan 60 kredi birliğinde kesinti.
Satnam Narang, Tenable’da kıdemli personel araştırma mühendisisaldırıların belirli şirketleri hedef alan yöntemli casusluk operasyonlarının aksine, büyük ölçüde fırsatçı fidye yazılımı gruplarının “parçala ve kap” operasyonları olduğunu söyledi.
Federaller ne yapıyor?
New York Eyaleti Finansal Hizmetler Bakanlığı 14 Kasım’da tüm düzenlemeye tabi kuruluşları CitrixBleed’i hafifletmek için derhal harekete geçmeleri konusunda uyardı. Ajans, sadece düzenlenen kuruluşlar için yeni değiştirilmiş açıklama kurallarını yürürlüğe koydu Kasım ayının başında, güvenlik açığının fidye yazılımı dağıtımına, veri hırsızlığına ve operasyonların aksamasına yol açabileceği konusunda uyardı.
Şükran Günü’nden hemen önce, CISA, FBI, MS-ISAC ve Avustralya Sinyaller Müdürlüğü konusunda ortak bir bülten yayınladı. CitrixBleed’in Lockbit 3.0 tarafından kullanılması. 7 Kasım’da güvenlik açığına yönelik hafifletme kılavuzunu yayınlayan CISA, şunları söyledi: Yaklaşık 300 kuruluşu savunmasız örnekler çalıştırdıkları konusunda uyardı fidye yazılımı uyarı programı aracılığıyla.
Kasım ayı sonlarında, ABD Sağlık ve İnsani Hizmetler Bakanlığı sağlık kuruluşlarını CitrixBleed riski konusunda uyaran bir bülten yayınladı.
Akışı engellemek
Güvenlik araştırmacıları, Netscaler örneklerine yama uygulanmadığı ve kullanıcılar, özellikle aktif oturumların silinmesi gibi ek azaltma adımlarını atmadıkları sürece kötü niyetli saldırıların devam edebileceği konusunda uyarıyor.
Palo Alto Networks’ten alınan veriler, savunmasız sistem sayısının 811’e düştüğünü gösteriyor; bu, yama öncesi rakamlara göre %96’lık bir düşüşü temsil ediyor.
Shadowserver verileri, yama yapılmamış sistem sayısının 12 Ekim’de 20.000’den 1.801’e düştüğünü gösteriyor.
CISA yetkilileri, CitrixBleed’in kötüye kullanılmasına katkıda bulunan, üreticilerin hafıza açısından güvenli dilleri kullanma konusunda başarısız olduklarına dair daha önceki endişelerini tekrarladı.