Mandiant’ın güvenlik araştırmacılarına göre, bazı Citrix NetScaler ürünlerinde geçen hafta yamalanan kritik hata hâlâ istismar ediliyor.
Google yan kuruluşu, yama sonrasında, savunmasız sistemlere erişen saldırganları engellemek için şifre sıfırlama gibi ek adımların gerekli olduğunu söyledi.
CVE-2023-4966 adlı güvenlik açığı geçen hafta düzeltildi ancak Mandiant’ın analizi daha fazla çalışmaya ihtiyaç olduğunu söyledi.
Güvenlik şirketi, sıfır gün saldırılarının Ağustos ayının sonlarından bu yana mevcut olduğunu ve saldırganlara “mevcut kimliği doğrulanmış oturumları ele geçirme, dolayısıyla çok faktörlü kimlik doğrulamayı veya diğer güçlü kimlik doğrulama gereksinimlerini atlama yeteneği” sağladığını söyledi.
Mandiant’ın diğer önemli bulgusu “oturum verilerinin yama dağıtımından önce çalındığı ve daha sonra bir tehdit aktörü tarafından kullanıldığı oturumun ele geçirilmesi”ydi.
Başka bir deyişle yamayı dağıtmak, sisteme zaten erişmiş olan saldırganları kilitlemedi.
Mandiant, “Kimlik doğrulamalı oturumun ele geçirilmesi, kimlik veya oturuma izin verilen izinlere ve erişim kapsamına bağlı olarak daha fazla alt erişime neden olabilir” dedi.
“Bir tehdit aktörü bu yöntemi ek kimlik bilgilerini toplamak, yanal olarak yönlendirmek ve bir ortamdaki ek kaynaklara erişim kazanmak için kullanabilir.”
Mandiant, bu tür saldırganları engellemek için yama sonrası gerekli ek adımların tüm aktif ve kalıcı oturumların sonlandırılmasını içerdiğini söyledi; dönen kimlik bilgileri; Web kabukları veya arka kapılar kanıtı gösteriyorsa herhangi bir cihazı temiz bir görüntüden yeniden oluşturmak; ve güvenilir IP adreslerine giriş erişimini kısıtlama.
Citrix, istismarların varlığını yansıtacak şekilde orijinal tavsiyesini güncelledi.