Yönetişim ve Risk Yönetimi , Yama Yönetimi , Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Sağlık Sektöründe Kullanılan Hassas Citrix Cihazları; Vahşi Doğada Görülen İstismarlar
Bay Mihir (MihirBagwe) •
19 Temmuz 2023
ABD’nin ve Avustralya’nın önde gelen siber güvenlik kurumları, kullanıcıları Citrix Application Delivery Controller ve Gateway cihazlarındaki kritik bir sıfır gün kusurunu düzeltmeye şiddetle çağırdı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
CVE-2023-3519 olarak takip edilen bug, 9.8 CVSS puanına sahip ve kimliği doğrulanmamış saldırganlara RCE ayrıcalıkları veriyor. Citrix, güvenlik açığının vahşi ortamda isimsiz tehdit aktörleri tarafından aktif olarak kullanıldığını söyledi.
Citrix cihazları sağlık sektöründe uzaktan erişim ve elektronik sağlık kayıtları gibi uygulamalarda ağ taleplerini dengelemek için kullanılır. Citrix, sıfır gün hatasından kaç cihazın etkilendiğini söylemedi, ancak siber güvenlik firması Rapid7, “Bu ürün grubu, tüm beceri düzeylerindeki saldırganlar için popüler bir hedef ve istismarın hızla artmasını bekliyoruz” dedi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, kullanıcıları ve yöneticileri Citrix güvenlik bültenini incelemeye ve gerekli güncellemeleri uygulamaya teşvik etti.
Avustralya Siber Güvenlik Merkezi ayrıca, “Avustralya’da bu Citrix NetScaler ADC ve NetScaler Gateway güvenlik açığına önemli ölçüde maruz kalınıyor” ve bundan gelecekte herhangi bir şekilde yararlanılmasının Avustralya sistemleri ve ağları üzerinde önemli bir etkisi olacağını söyleyerek kullanıcıları azaltma önlemlerini gözden geçirmeye güçlü bir şekilde çağırdı.
Citrix güvenlik bülteninde, kusurdan yararlanmanın ön koşulunun, güvenlik açığından etkilenen cihazın bir ağ geçidi olarak – bir VPN sanal sunucusu, ICA Proxy, CVPN veya RDP Proxy olarak – veya bir AAA sunucusu gibi bir kimlik doğrulama sanal sunucusu olarak yapılandırılması gerektiğidir.
Şirket, aşağıdaki sürümlerde sorun için düzeltmeler yayınladı:
- NetScaler ADC ve NetScaler Gateway 13.1-49.13 ve sonraki sürümler;
- NetScaler ADC ve NetScaler Gateway 13.0-91.13 ve sonraki 13.0 sürümleri;
- NetScaler ADC 13.1-FIPS 13.1-37.159 ve sonraki 13.1-FIPS sürümleri;
- NetScaler ADC 12.1-FIPS 12.1-65.36 ve sonraki 12.1-FIPS sürümleri;
- NetScaler ADC 12.1-NDcPP 12.1-65.36 ve sonraki 12.1-NDcPP sürümleri.
Citrix, NetScaler ADC ve NetScaler Gateway sürüm 12.1 için kullanım ömrünün sonuna geldiklerinden herhangi bir düzeltme bulunmadığını söyledi. Bu ürünleri kullanan müşterilerin, hafifletmek için ürünün daha yeni bir sürümüne yükseltmelerini önerir.
Daha Yüksek Derecelendirilmiş Güvenlik Açıkları
Citrix ayrıca yüksek puan alan diğer iki güvenlik açığını da düzeltti:
- CVE-2023-3466: 8.3 CVSS puanına sahip bu siteler arası komut dosyası çalıştırma güvenlik açığı, kurban NetScaler IP bağlantısı olan bir ağdayken bir tarayıcıda saldırgan tarafından kontrol edilen bir bağlantıya erişirse kullanılabilir.
- CVE-2023-3467: CVSS puanı 8.0 olan bu uygunsuz ayrıcalık yönetimi güvenlik açığı, yetkinin kök yöneticiye yükseltilmesine neden olur –
nsroot
. Başarılı bir istismar için, saldırganın yönetim arayüzü erişimi ile NSIP’ye veya SNIP’ye kimliği doğrulanmış erişime sahip olması gerekir.
Citrix cihazları, özellikle ulus devlet bilgisayar korsanları için kazançlı bir hedef olduğundan, müşteriler bu hataları düzeltmeye öncelik vermelidir. Aralık 2022’de Citrix, klinik uygulamaların ve bir sanal özel ağın kullanılabilirliğini sağlamak için kullanılan ağ araçlarının, o sırada Çin devlet destekli bilgisayar korsanları tarafından aktif olarak sömürülen kusurlar içerdiğini açıkladı (bkz:: Çinli Bilgisayar Korsanları Citrix Güvenlik Açıklarından Yararlanıyor).
ABD Ulusal Güvenlik Teşkilatının uyardığına göre, Ocak ayında araştırmacılar, biri Çinli ulus-devlet bilgisayar korsanları tarafından aktif olarak sömürülen iki kritik kusura karşı savunmasız olan binlerce Citrix ADC ve Ağ Geçidi sunucusunu ortaya çıkardı (bkz:: Citrix Sunucularındaki Kusurlar; Netgear Kritik Danışma Sorunları).
Siber güvenlik sağlayıcısı Tenable, “ADC ve Ağ Geçidi cihazlarına karşı sömürünün tarihsel doğası nedeniyle, kuruluşları CVE-2023-3519’u mümkün olan en kısa sürede yamalamaya şiddetle tavsiye ediyoruz.” Dedi.