Mandiant, kritik bir güvenlik açığına karşı savunmasız durumda olan binlerce Citrix ağ ürününün hala yamalanmamış ve Internet’te açığa çıkmış olmasına rağmen, kurumsal savunucuların güvenliği ihlal edilmiş ürünleri belirlemesine yardımcı olacak bir araç yayınladı.
IoC Tarayıcı, Citrix ADC ve Citrix Gateway sürüm 13.1, Citrix ADC ve Citrix Gateway sürüm 13.0, Citrix ADC ve Citrix Gateway sürüm 12.1, Citrix ADC ve Citrix Gateway sürüm 12.0 ile kullanılmak üzere tasarlanmıştır.
Citrix, 18 Temmuz’da NetScaler uygulama teslim denetleyicisi ve ağ geçidi ürünlerindeki sıfırıncı gün kritik güvenlik açığı için bir yama yayınladı ve etkilenen ürünleri kullanan kuruluşlara bunu hemen uygulamaları tavsiyesinde bulundu. İstismar edilirse (CVE-2023-3519), kimliği doğrulanmamış uzaktan kod yürütülmesine izin vermek için istismar edilebilir. Birkaç tehdit grubu, kurumsal ağların içine web kabukları kurarak ve düzinelerce açıktan yararlanarak açıktan aktif olarak yararlanıyor.
Araştırmacılar, Web’de yaklaşık 7.000 örneğin açıkta kaldığını söylüyor. Bunlardan yaklaşık 460’ında, büyük olasılıkla uzlaşma nedeniyle Web kabukları kuruludur.
Mandiant’ın GitHub’da bulunan aracı, bilinen kötü amaçlı yazılımların dosya sistemi yollarını, kabuk geçmişindeki istismar sonrası etkinliği, beklenmedik crontab girişlerini ve işlemlerini ve bilinen kötü niyetli terimleri ve NetScaler dizinlerinin beklenmedik değişikliklerini tanımlayabilir. Bağımsız Bash betiği, bilinen göstergeler için dosyaları, işlemleri ve bağlantı noktalarını taramak üzere doğrudan bir Citrix ADC aygıtında çalıştırılabilir. (Araç şu şekilde çalıştırılmalıdır: kök Mandiant, cihazın bir soruşturmada kullanmak üzere monte edilmiş bir adli tıp görüntüsünü de inceleyebileceğini söyledi.
Mandiant, IoC Tarayıcının güvenliği ihlal edilmiş ürünleri belirlemede “en iyi çabayı” göstereceğini, ancak güvenliği ihlal edilmiş tüm cihazları bulamayabileceğini ve cihazın istismara karşı savunmasız olması durumunda bulamayacağını söyledi. “Bu aracın, CVE 2023-3519 ile ilgili tüm uzlaşma kanıtlarını veya tüm uzlaşma kanıtlarını bulması garanti edilmez.”