İhlal Bildirimi, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Saldırganların Telekomünikasyon Devini Vurmak İçin Doğrulanmış Oturumları Çaldığı Görünüyor
Mathew J. Schwartz (euroinfosec) •
20 Aralık 2023
Yıl sonuna sadece birkaç hafta kala, Amerika’nın en büyük telekomünikasyon ve medya holdingi, “Citrix Bleed” adı verilen bir kusur nedeniyle 2023’ün bilinen en büyük veri ihlallerinden birine maruz kaldığını duyurdu.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Philadelphia merkezli Comcast Cable Communications, Maine’deki başsavcıya sunduğu bir veri ihlali bildiriminde, saldırganların Ekim ayında sistemlerini ihlal ettiğini ve Xfinity markalı TV, internet ve ev telefonu hizmetlerinden yararlanan 35.879.455 müşterisinin kişisel bilgilerini çaldığını bildirdi.
İhlal kurbanlarının sayısı, Comcast’in düzenleyici bir dosyada bildirdiği 32,3 milyon konut ve ticari geniş bant müşterisinin sayısına benzer; bu da neredeyse tüm Xfinity müşterilerinin etkilenmiş göründüğü anlamına geliyor.
Comcast, bir basın açıklamasında ihlali 16 Kasım’da doğruladığını, 6 Aralık’ta etkilenen müşterileri tespit ettiğini ve onları Pazartesi günü e-postanın yanı sıra Xfinity web sitesi ve medya bildirimleri aracılığıyla saldırganların kullanıcı adlarını ve şifrelenmiş şifrelerini çaldığına dair bilgilendirmeye başladığını söyledi. . Bazı müşterilerin çalınan bilgileri arasında tam adları, iletişim bilgileri, doğum tarihleri, gizli soru ve yanıtları ve Sosyal Güvenlik numaralarının son dört hanesi de yer alıyordu. Comcast, “Veri analizimiz devam ediyor ve uygun olduğunda ek bildirimler sağlayacağız” dedi.
Şirketin soruşturması, ihlalin Citrix donanımındaki CVE-2023-4966, diğer adıyla Citrix Bleed olarak takip edilen bir güvenlik açığından yararlanan saldırganlara kadar izini sürdü.
Comcast, “25 Ekim’deki rutin bir siber güvenlik tatbikatı sırasında Xfinity, şüpheli aktiviteyi keşfetti ve ardından 16 Ekim ile 19 Ekim arasında iç sistemlerine yetkisiz erişim olduğunu belirledi ve bunun da bu güvenlik açığından kaynaklandığı sonucuna vardı.” dedi. .
NetScaler ve Citrix’i iş birimleri olarak sayan Cloud Software Group, 10 Ekim’de CVE-2023-4966’nın yanı sıra CVE-2023-4967 olarak takip edilen ve tüm cihazlarda mevcut olan başka bir güvenlik açığını gidermek için bir güvenlik uyarısı ve düzeltme eki yayınladı. önceden Citrix ADC ve Citrix Gateway olarak bilinen, yönetilen NetScaler Uygulama Dağıtım Denetleyicisi ve Ağ Geçidi cihazları. Comcast, “Xfinity, sistemlerindeki Citrix güvenlik açığını derhal yamaladı ve hafifletti” dedi.
Comcast ve diğer birçok kuruluş için sorun, bilmedikleri halde, yalnızca güvenlik açığına yama uygulanmasının, kusurun oluşturduğu tüm riskleri tam olarak azaltmamasıdır.
Google Cloud’un Mandiant olay müdahale grubu, 17 Ekim’de ilk olarak, bilgisayar korsanlarının “mevcut kimliği doğrulanmış oturumları ele geçirmek, dolayısıyla çok faktörlü kimlik doğrulamayı veya diğer güçlü kimlik doğrulama gereksinimlerini atlamak için” sıfır gün güvenlik açığını Ağustos ayı sonlarında hedeflemeye başladıklarını geriye dönük olarak keşfettikleri konusunda uyardı ve bu güvenlik açığını yüklemenin yama önceki oturumları geçersiz kılmadı.
Mandiant, “Yama dağıtımından önce oturum verilerinin çalındığı ve ardından bir tehdit aktörü tarafından kullanıldığı oturum ele geçirme olayını gözlemledik” diye uyardı. Mandiant Consulting CTO’su Charles Carmakal, “En kritik şey, kuruluşların yalnızca yamayı uygulamaktan daha fazlasını yapması gerektiği; aynı zamanda tüm aktif oturumları da sonlandırmaları gerektiğidir” dedi.
23 Ekim’de Bulut Yazılım Grubu, tüm kullanıcılara yamayı yüklerken önceki oturumları geçersiz kılmaları ve güvenlik ihlali işaretleri için günlükleri incelemeleri yönünde bir uyarı da dahil olmak üzere güncellenmiş hafifletme kılavuzu yayınladı.
Kısa bir süre sonra güvenlik araştırmacıları, çalınan oturumların fidye yazılımı kullanan saldırganlar ve ulus devlet bilgisayar korsanlığı ekipleri tarafından kullanılması da dahil olmak üzere, Citrix Bleed kusurunun saldırganlar tarafından toplu olarak istismar edildiğini gördükleri konusunda uyardı.
Kasım ayının sonlarında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI ve Avustralya Siber Güvenlik Merkezi, havacılık devi Boeing’in paylaştığı uzlaşma göstergelerini detaylandıran çok kurumlu bir danışma belgesi yayınladı. Fidye yazılımı grubu LockBit’in üyeleri Ekim ayı sonlarında Boeing’in parça ve dağıtım işini ihlal ettiklerini iddia etti. Müfettişler bu saldırının Citrix Bleed’in istismarına dayandığını tespit etti.
Bu tür saldırılar devam ediyor. Kötü amaçlı etkinlikleri izlemek için bal küplerini kullanan tehdit istihbarat servisi GreyNoise, Çarşamba günü CVE-2023-4966’dan yararlanmaya çalışan saldırıları başlatmak için kullanılan yaklaşık 420 IP adresinin takip edildiğini bildirdi.