Citrix NetScaler’da geçen hafta yamalanan kritik bir güvenlik açığı aktif saldırı altında ve en azından Ağustos ayından bu yana saldırı altında.
Mandiant, durumu daha da kötüleştiren hatanın (CVE-2023-4966, CVSS puanı 9,4) yalnızca yamayı uygulayarak tamamen düzeltilemeyeceği konusunda uyarıyor.
Mandiant CTO Charles Carmakal, bu hafta aktif Citrix kullanımıyla ilgili bir LinkedIn gönderisinde, bu noktaya kadar “kuruluşların tüm aktif oturumları sonlandırması gerektiğini” açıkladı. “Bu kimlik doğrulamalı oturumlar, CVE-2023-4966 etkisini hafifletmeye yönelik güncelleme dağıtıldıktan sonra da devam edecek. Bu nedenle, yama uygulandıktan sonra bile bir tehdit aktörü, oturumlar sonlandırılıncaya kadar kaynaklarda kimlik doğrulaması yapmak için çalınan oturum verilerini kullanabilir.”
Teknik olarak bir bilgi ifşası güvenlik açığı olan bu kusur, siber saldırganların mevcut kimliği doğrulanmış oturumları ele geçirmesine ve potansiyel olarak çok faktörlü kimlik doğrulamayı (MFA) atlamasına olanak tanıyor. Sonuç, kuruluşlar içindeki uygulama dağıtımını kontrol eden ve yöneten NetScaler ortamları üzerinde tam kontroldür.
Ağustostan Beri Sıfır Gün Sömürü
Mandiant, bu açıktan yararlanan ve kimliği bilinmeyen bir tehdit aktörü tarafından gerçekleştirilen saldırıların izini yaz sonuna kadar sürdü. Carmakal, devam eden istismarın şu ana kadar bilinmeyen saldırganların görüş alanında profesyonel hizmetler, teknoloji ve devlet kurumlarıyla siber casusluğa odaklanmış göründüğünü söyledi.
“Finansal motivasyona sahip diğer tehdit aktörlerinin zaman içinde bundan yararlanacağını öngörüyoruz” diye ekledi.
Citrix donanımına yönelik bilinen tehditleri hafifletme konusunda kuruluşların zayıf bir performans geçmişine sahip olduğu göz önüne alındığında, bu olası bir tahmin. Örneğin, ayın başlarında, bir grup saldırganın hala Citrix NetScaler ağ geçitlerinde ele alınan kritik bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2023-3519’u (CVSS puanı 9,8) hedef aldığı ortaya çıktı. Temmuz ayında (ancak bundan önceki bir ay boyunca sıfır gün olarak kullanıldı).
Açıklamanın ardından binlerce kimlik hırsızlığı saldırısı gerçekleşti ve yamaların gecikmesiyle Ağustos ayında zirveye ulaştı. Shadowserver Foundation’a göre Ekim başı itibarıyla 1.300’den fazla arka kapılı NetScaler örneği taramalarda hâlâ görünüyorlardı.
En son kritik güvenlik hatasına gelince, müşteri tarafından yönetilen Citrix NetScaler ADC ve NetScaler Gateway kurulumları etkileniyor; bulut örnekleri, yamalı sürümlerle ilgili bilgileri de içeren Citrix hata bildiriminde belirtildiği gibi değildir. Çarşamba günü Mandiant ayrıca CVE-2023-4966 için güncellenmiş, ayrıntılı iyileştirme kılavuzu sundu.