Siber saldırganlar, Citrix’in NetScaler ADC ve NetScaler Gateway uygulama teslimi ve uzaktan erişim teknolojilerinin çeşitli sürümlerinde kritik bir uzaktan kod yürütme (RCE) hatasından aktif olarak yararlanıyor.
Kusur, yararlanmak için kimlik doğrulaması gerektirmez.
Citrix, 18 Temmuz’da CVE-2023-3519 olarak izlenen sıfır gün güvenlik açığı için bir yama yayınladı ve etkilenen ürünleri kullanan kuruluşlara bunu hemen uygulamaları tavsiyesinde bulundu.
CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna Eklendi
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), kod enjeksiyon güvenlik açığını Bilinen Yararlı Güvenlik Açıkları (KEV) kataloğuna derhal ekleyerek ve tüm federal sivil yürütme organlarına yamayı uygulamaları için 9 Ağustos’a kadar süre tanıyarak bu tavsiyeye aciliyet kazandırdı. CISA, CVE-2023-3519’u kataloğuna ekleme kararında, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal kuruluş için önemli riskler oluşturur.” Dedi.
Citrix, hatayı keşfedip bildirdikleri için Resillion’daki iki araştırmacıya itibar etti. Şirket, güvenlik açığını kimliği doğrulanmamış bir saldırganın etkilenen bir sunucuda rasgele kod çalıştırmasına izin vermek olarak tanımladı ve hataya olası maksimum 10 üzerinden 9,8 önem derecesi verdi. Citrix, bir açıktan yararlanmanın çalışması için güvenlik açığı bulunan cihazın bir VPN sanal sunucusu, bir ICA Proxy, Citrix Virtual Private Network (CVPN), RDP proxy veya bir AAA sanal sunucusu gibi bir ağ geçidi cihazı olarak yapılandırılması gerektiğini söyledi.
NetScaler ADC ve NetScaler Gateway gibi ağ geçidi ürünlerindeki güvenlik açıkları, kuruluşların bunları kurumsal uygulamalara ve verilere uzaktan iş gücü erişimini güvence altına almak için ne kadar yaygın bir şekilde kullandığından, son yıllarda saldırganlar için popüler hedefler haline geldi. Başarılı bir açıktan yararlanma, bir tehdit aktörüne bir hedef ağ üzerinde ilk ve genellikle yüksek ayrıcalıklı erişim sağlayabilir.
Popüler Hedef
CISA’nın KEV kataloğu, Kasım 2021’den bu yana yalnızca Citrix ürünlerinde geniş çapta yararlanılan güvenlik açıkları için 12 giriş içeriyor. Bunların arasında en yenileri arasında Citrix ADC ve Ağ Geçidi’ndeki bir kimlik doğrulama baypas güvenlik açığı olan CVE-2022-27518; CVE-2021-22941, Citrix ShareFile depolama bölgeleri denetleyicisinde uygun olmayan bir erişim denetimi kusuru; ve Citrix SD-WAN ve NetScaler’daki bir komut enjeksiyon güvenlik açığı olan CVE-2019-12991. 2019’dan CVE-2019-19781 gibi bazı Citrix kusurları, Çin, İran ve Rusya’dan gelen tehdit aktörleri tarafından en yoğun şekilde hedef alınanlar arasında yer alıyor.
Citrix açık ara tek hedef değil. CISA ve Ulusal Güvenlik Ajansı (NSA), Fortinet, Pulse, Cisco, Netgear ve QNAP gibi diğer üreticilerin ağ geçidi cihazlarındaki güvenlik açıklarını aktif olarak arayan ve kullanan ulus devlet destekli gruplar da dahil olmak üzere tehdit aktörleri konusunda uyarıda bulundu. Haziran 2022 tarihli ortak bir danışma belgesinde, iki federal kurum, Çinli tehdit aktörlerinin dünya çapında “geniş bir tehlikeye atılmış altyapı ağı kurmak” için özellikle bu ürünlerdeki kusurları hedef alması konusunda uyardı. Ekim 2022’de meydana gelen bir Fortinet kusuru (CVE-2022-40684) gibi bazı durumlarda, tehdit aktörleri bir ağ geçidi cihazındaki bir güvenlik açığından yararlanarak ağların güvenliğini ihlal etmiş ve ardından güvenliği ihlal edilmiş ağa erişimi diğer siber suçlulara satmıştır.
CVE-2023-3519, Citrix’in bu hafta ifşa ettiği üç hatadan biridir. Diğer ikisi, Citrix’in Citrix ADC ve Citrix Gateway olarak yeniden adlandırdığı NetScaler ADC ve NetScaler Gateway’i etkiler. Bunlardan biri, şirketin “kurbanın NSIP bağlantısı olan bir ağdayken tarayıcıda saldırgan tarafından kontrol edilen bir bağlantıya erişmesini” gerektirdiğini açıkladığı, yansıtılmış bir siteler arası komut dosyası hatasıdır (CVE-2023-3466). Citrix, güvenlik açığını 8 önem derecesi puanıyla değerlendirdi. CVE-2023-3467 olarak izlenen diğer kusur da önem derecesini 8 olarak puanlıyor ve bir saldırganın ayrıcalıkları bir yöneticinin ayrıcalıklarına yükseltmesine izin veriyor. Citrix, bir saldırganın güvenlik açığından yararlanabilmesi için NetScaler IP adresine (NSIP) veya Alt ağ IP adresine (SNIP) kimliği doğrulanmış erişime ihtiyacı olacağını söyledi.