Mandiant’a göre, özellikle NetScaler ADC ve Gateway cihazlarını etkileyen Citrix güvenlik açığı, Ağustos 2023’ün sonlarından bu yana yaygın olarak tespit edildi.
NetScaler ADC ve Gateway cihazları sağlayıcısı Citrix, 10 Ekim 2023’te hassas bilgileri açığa çıkaran bir güvenlik açığının (CVE-2023-4966) ayrıntılarını içeren bir güvenlik bülteni yayınladı. Mandiant, bir Google’a ait Önde gelen siber güvenlik firması, Citrix’in ifşasının ardından hem sıfır gün istismarı hem de bu güvenlik açığından daha sonra faydalanılma örneklerini tespit etti.
Güvenlik açığı özellikle NetScaler ADC ve Gateway cihazlarını etkiliyor ve Ağustos 2023’ün sonlarından bu yana gözlemleniyor ve şirket tarafından güvenlik tavsiyesi yayınlandıktan sonra da devam ediyor.
Mandiant’ın araştırmaları, tehdit aktörlerinin parolalar ve çok faktörlü kimlik doğrulama dahil olmak üzere kimlik doğrulama önlemlerini atlayarak bu Citrix cihazlarındaki meşru kullanıcı oturumlarının kontrolünü ele geçirmesine olanak tanıyan başarılı istismar olaylarını ortaya çıkardı.
Mandiant’ın bulguları, istismar faaliyetlerinin belirlenmesine yardımcı olan faktörlere ışık tutuyor ve olay müdahale araştırmaları sırasında tanık olunan çeşitli istismar sonrası teknikleri vurguluyor.
Savunmasız Uç Noktalar
Citrix, donanım yazılımı güncellemelerini yayınladığında CVE-2023-4966Mandiant benzer yöntemleri kullandı Varlık notları, savunmasız işlevleri tanımlamak ve bir kavram kanıtı (PoC) oluşturmak için harici bir saldırı yüzeyi yönetim firmasıdır. Citrix’in yayınlanmasından önce Mandiant, sıfır gün istismarının sonucu olduğuna inandıkları oturum devralmalarını zaten araştırıyordu.
Diferansiyel ürün yazılımı analiziyle, genişletilmiş bir Ana Bilgisayar başlığına sahip bir HTTP GET isteği oluşturarak, savunmasız bir cihazın sistem belleği içeriğini açığa çıkarmasına ve potansiyel olarak geçerli bir NetScaler AAA oturum çerezini ortaya çıkarmasına neden olarak, savunmasız uç noktayı belirlediler.
Soruşturma Zorlukları
Bu güvenlik açığı bulunan cihazların araştırılmasındaki önemli bir zorluk, cihazın web sunucusunda güvenlik açığı bulunan uç nokta için istek günlüğünün bulunmamasıdır. Mandiant şunlara güvenmenizi önerir: web uygulaması güvenlik duvarları (WAF) veya benzeri ağ cihazları, istismar girişimlerini tanımlamak için bu NetScaler cihazlarına yönlendirilen HTTP/S isteklerini kaydediyor.
İstismarın Tespit Edilmesine Yönelik Teknikler
Mandiant, potansiyel istismarı ve ardından gelen oturumun ele geçirilmesini belirlemek için çeşitli tekniklerin ana hatlarını çizdi. Bunlar arasında WAF günlüklerinin incelenmesi, NetScaler günlüklerindeki şüpheli oturum açma modellerinin belirlenmesi, Windows Kayıt Defteri anahtarlarının kontrol edilmesi ve bellek çekirdeği dökümü dosyalarının analiz edilmesi yer alır.
Sömürü Sonrası Faaliyetler
Başarılı bir kullanımın ardından Mandiant, gözetleme, kimlik bilgileri toplama ve RDP aracılığıyla yanal hareket gibi çeşitli kullanım sonrası taktikleri gözlemledi. Tehdit aktörleri erişim sağlamak için çeşitli araç ve teknikler kullandı: Mimikatz süreç belleğini boşaltmak ve Atera gibi uzaktan izleme ve yönetim (RMM) araçlarını dağıtmak için, AnyDeskVe Sıçrama Üstü.
Mağduriyet ve Atıf
Mandiant’ın araştırması hukuk, profesyonel hizmetler, teknoloji ve Amerika, EMEA ve APJ bölgelerindeki devlet kuruluşları da dahil olmak üzere birçok sektörü kapsıyor. Bu güvenlik açığından yararlanan dört farklı kategorize edilmemiş (UNC) grubu izliyorlar.
“Mandiant şu anda bu güvenlik açığından yararlanan dört farklı kategorize edilmemiş (UNC) grubu izliyor. Bu UNC grupları arasında, Windows’ta mevcut olan aynı keşif komutlarını ve yardımcı programları kullanmak gibi, kullanım sonrası aşamalarda bazı daha düşük düzeyde güven çakışmaları gözlemledik. Birden fazla izinsiz girişte gözlemlenen ortak araçlar şunlardı: csvde.exe certutil.exe local.exe nbtscan.exe.”
Mandiant
Timothy MorrisTanium’un Baş Güvenlik Danışmanı da konu hakkında yorum yaptı ve Netscaler istismarının şu anda büyük ölçekte olmasını istedi. Morris, “Oturum Ele Geçirme” düşük riskli olabilir, ancak ele geçirilen oturuma bağlı olarak son derece yüksek riskli de olabilir, dedi Morris.
“Müşterilerin derhal yama yapması ve gerekli olay müdahale tehdit avcılığını yapması önemlidir. Başka bir deyişle, “Yama yaparsam iyiyim” diye varsaymayın. Bu, bir sonraki istismar girişimini engelleyebilir (örneğin, kırık pencerenin onarılması), ancak daha önce olmuş olabilecek durumu (örneğin, daha önce kırılan pencere nedeniyle evde kimin olduğu) çözmez,” diye ekledi Morris.
İyileştirme Çabaları
Mandiant bir yayınladı Blog yazısı Bu güvenlik açığını azaltmak için iyileştirme önerileri ve rehberlik sunuyoruz.
Sonuç olarak bu açıklama, Citrix güvenlik açığı CVE-2023-4966’dan kaynaklanan kullanım ve kullanım sonrası faaliyetlere ilişkin bilgiler sunmaktadır. Mandiant’ın devam eden araştırması, istismarın inceliklerini anlamayı ve düzeltme için kapsamlı rehberlik sağlamayı amaçlıyor.
Editörün Notu:
Makalede güvenlik açığı, yararlanma teknikleri ve tespit yöntemleri hakkında sınırlı teknik ayrıntılar yer alıyor. Lütfen bunun Mandiant’ın orijinal blog yazısında sağlanan kapsamlı bilgilerin bir özeti olduğunu unutmayın.
İLGİLİ MAKALELER
- Kritik RCE Güvenlik Açığı 330.000 Fortinet Güvenlik Duvarını Riske Atıyor
- Cisco Catalyst SD-WAN Yönetim Sistemleri DoS Saldırılarına Maruz Kalıyor
- JetBrains, RCE’ye ve Sunucu Ele Geçirilmesine İzin Veren TeamCity Kusurunu Yamaladı
- iLeakage Saldırısı: Apple’ın Safari Tarayıcısından Hassas Verilerin Hırsızlığı
- Mozilla, Firefox ve Thunderbird’deki Kritik Güvenlik Açığı Düzeltmek İçin Acele Ediyor