Mandiant’tan araştırmacılar Salı günü, Citrix Netscaler’daki kritik bir güvenlik açığına yönelik yamanın çalışmadığını ve kötü niyetli aktörlerin bu kusurdan yararlanmaya devam ettiğini belirten acil bir uyarı yayınladı.
Citrix 10 Ekim’de bir yama yayınladı Netscaler ADC ve Netscaler Gateway’de CVE-2023-4966 olarak listelenen ve en az Ağustos ayından bu yana aktif olarak kullanılan güvenlik açığını gidermek için.
Ancak Mandiant, güvenlik güncellemesinin yayınlanmasının ardından sistemlerine yama uygulayan kuruluşların hâlâ saldırıya uğradığını tespit etti. Mandiant CTO Charles Carmakal artık kuruluşları tüm aktif oturumları sonlandırmaya çağırıyor.
Carmakal, “Bu kimliği doğrulanmış oturumlar, CVE-2023-4966’nın etkilerini hafifletmeye yönelik güncellemenin uygulanmasından sonra da devam edecek” dedi. LinkedIn’de söyledi. “Bu nedenle, yama uygulandıktan sonra bile bir tehdit aktörü, oturumlar sonlandırılana kadar kaynaklarda kimlik doğrulaması yapmak için çalınan oturum verilerini kullanabilir.”
Mandiant yetkilileri şunları söyledi: güvenlik açığından başarılı bir şekilde yararlanma Bilgisayar korsanlarının mevcut kimliği doğrulanmış oturumları ele geçirmesine ve çok faktörlü kimlik doğrulamayı atlamasına olanak tanıyabilir. Mandiant, yama dağıtımından önce oturum verilerinin çalındığı ve daha sonra bilgisayar korsanları tarafından kullanıldığı durumları gözlemledi
Firma, halihazırda profesyonel hizmet ve teknoloji firmalarının yanı sıra devlet kurumlarında da istismarın gerçekleştiğini söyledi.
Mandiant, tehdit aktörünün kim olduğunu bilmiyor ancak bilgisayar korsanlarının siber casusluğa odaklandığını ve finansal motivasyona sahip bilgisayar korsanlarının eninde sonunda harekete geçmesini beklediklerini söyledi.
Yorum istendiğinde Siber Güvenlik ve Altyapı Güvenliği Ajansı yetkilileri Mandiant’ın rehberliğine başvurdu. Citrix’in bir sözcüsü yorum yapmak için hemen müsait değildi.