Artık kötü şöhrete sahip CitrixBleed güvenlik açığı şimdiye kadarki en büyük cinayeti gerçekleştirdi: Comcast Xfinity’nin 35 milyon müşterisi.
Saldırganlar en azından Ağustos ayından bu yana CVE-2023-4966 (diğer adıyla CitrixBleed), Citrix Systems’in NetScaler ADC ve Gateway ağ ürünlerini etkileyen 7,5 düzeyindeki yüksek önem derecesine sahip bir güvenlik açığıdır. Ekim ayında gün yüzüne çıktıktan sonra bile birçok kuruluş bu konuyu gündeme getirdi. sistemlerini kapsamlı bir şekilde desteklemek için mücadele etti.
Böyle bir organizasyon Comcast Xfinity gibi görünüyor. Pazartesi günü kablolu yayın devi, kullanıcı adları ve karma şifreler ile bazılarının isimleri, iletişim bilgileri, Sosyal Güvenlik numaralarının son dört hanesi, doğum tarihleri ve güvenlik soruları ve yanıtları da dahil olmak üzere müşteri verilerinin CitrixBleed’in etkin olduğu bir ihlalini açıkladı .
Xfinity, Dark Reading’e şu açıklamayı yaptı:
“Xfinity ve dünya çapındaki diğer binlerce şirket tarafından kullanılan bir yazılım sağlayıcısı olan Citrix tarafından daha önce açıklanan bir güvenlik açığından yararlanan bir veri güvenliği olayı hakkında müşterilerimize bildirimde bulunuyoruz. Güvenlik açığını derhal yamaladık ve hafiflettik. Herhangi bir müşteri verisinden haberdar değiliz. Ayrıca müşterilerimize şifrelerini sıfırlamalarını talep ettik ve birçok Xfinity müşterisinin zaten yaptığı gibi iki faktörlü veya çok faktörlü kimlik doğrulamayı etkinleştirmelerini şiddetle tavsiye ediyoruz. Müşterilerimizi çok ciddi bir şekilde korumak ve siber güvenlik ekibimizin 7/24 izlemesini sağlamak.”
Comcast Veri İhlalinde Neler Oldu?
Citrix ilk kez açıklandı ve piyasaya sürüldü CitrixBleed için bir yama 10 Ekim’de, etkilenen müşteriler için bir hafta ve iki hafta sonrasında ek rehberlik sağlanacaktır. Buna göre yanıt olarak müşterilere bir bildirimComcast, “sistemlerimizi anında yamaladığını ve hafiflettiğini” iddia ediyor.
Ancak şirket, Citrix aracılığıyla 16-19 Ekim tarihleri arasında süren bir ihlalin kurbanı oldu. Xfinity, Dark Reading’in bir soruşturmasına verdiği yanıtta bu tutarsızlığı açıklamadı.
Görünüşe göre saldırganlar bu üç gün içinde Xfinity’nin müşterileri hakkında sahip olduğu verilerin çoğunu sızdırmayı başardı. Ve Maine Başsavcılığı’na sunulan bir açıklama hasarın tam boyutunu ortaya koyuyor: 35.879.455 kişi etkilendi.
Tüm Xfinity müşterilerinden bir sonraki giriş denemelerinde şifrelerini sıfırlamaları istenecektir. Bazı müşteriler vardı istemi zaten aldım Pazartesi günkü açıklamaya günler kala.
Devam Eden CitrixBleed Tehdidi
ReliaQuest’in kıdemli siber tehdit istihbarat analisti Chris Morgan, kullanıma sunulmasından dört ay sonra ve yamasının üzerinden iki ay geçmesine rağmen “CitrixBleed birçok nedenden dolayı önemli bir risk teşkil ediyor” diyor. Geçen ay ReliaQuest beş aktif tehdit grubu belirlediLockBit fidye yazılımı çetesi de dahil olmak üzere hâlâ bu konuyla uğraşmaktadır.
“Güvenlik açığı çok sayıda cihazı etkiliyor ve istismar edilmesi son derece kolay. dolaşımdaki mevcut kavram kanıtları (POC’ler) — ve tehdit aktörleri için önemli fırsatlar sunabilir” diye açıklıyor. Ayrıca fidye yazılımı gruplarının ortalıkta dolaştığına dair bir söylentiye de dikkat çekiyor tüm saldırı zincirini otomatikleştiren bir Python betiği.
“Kuruluşlar sorun için gerekli yamayı uygulayıp yeniden başlatmış olsalar bile” diye devam ediyor, “oturum belirteçlerine bir cihazın belleğinden erişilebilir ve bu daha sonra aktif oturumları ele geçirmek için kullanılabilir. Bu, kimlik doğrulamayı etkili bir şekilde atlayabilir ve engelsiz erişim elde edebilir Bu nedenle yamayı uyguladıktan sonra aktif ve kalıcı oturum belirteçlerinin geçersiz kılınması önemlidir.”
“Bu adımları atamayan duyarlı kuruluşlar, harekete geçene kadar diğer birçok önemli tehdide ek olarak mali motivasyonlu tehdit aktörlerinden kaynaklanan önemli bir riskle karşı karşıya kalmaya devam edecek” diyor.