Güvenlik araştırmacıları, Citrix NetScaler ADC/Gateway cihazlarında CVE-2023-4966 olarak takip edilen kritik bir güvenlik açığının Ağustos ayının sonlarından bu yana aktif olarak sıfır gün olarak kullanıldığını duyurdu.
Güvenlik sorunu bir bilginin ifşa edilmesidir ve geçen hafta bir düzeltme alınmıştır. Saldırganların, kimlik doğrulama, yetkilendirme ve muhasebe (AAA) sanal sunucularına yönelik ağ geçitleri olarak yapılandırılmış cihazlardaki sırlara erişmesine olanak tanır.
Citrix, 10 Ekim’de birkaç teknik ayrıntı içeren bir güvenlik bülteninde müşterilerin mevcut güncellemeyi gecikmeden yüklemelerini şiddetle tavsiye etti.
Mandiant’tan gelen bir rapor, CVE-2023-4966’nın ağustos ayından bu yana kimlik doğrulama oturumlarını çalmak ve hesapları ele geçirmek amacıyla vahşi ortamda kullanıldığına dair işaretler bulduğunu açıkladı.
Siber güvenlik şirketi, “Mandiant, Ağustos 2023’ün sonlarından itibaren bu güvenlik açığının sıfır günlük istismarını tespit etti” dedi.
“Başarılı bir şekilde kullanılması, mevcut kimliği doğrulanmış oturumların ele geçirilmesi, dolayısıyla çok faktörlü kimlik doğrulamanın veya diğer güçlü kimlik doğrulama gereksinimlerinin atlanmasıyla sonuçlanabilir” – Mandiant
Şirket ayrıca, güvenlik güncelleştirmesi yüklendikten sonra bile kaçırılan oturumların devam ettiği konusunda uyarıyor. Ele geçirilen hesabın izinlerine bağlı olarak saldırganlar bu yöntemi kullanarak yanlara doğru hareket edebilir veya daha fazla hesabı ihlal edebilir.
Güvenlik araştırmacıları, CVE-2023-4966’nın devlet kurumlarına ve teknoloji şirketlerine ait altyapılara erişim için kullanıldığını gözlemledi.
Sabitleme ve hafifletme
Mandiant, Citrix’ten gelen yamayı uygulamanın yanı sıra, NetScaler ADC/Gateway yöneticileri için aşağıdaki önerileri içeren ek iyileştirme önerileri içeren bir belge yayınladı:
- Anında yama uygulanması mümkün değilse giriş IP adreslerini kısıtlayın.
- Yükseltme sonrasında tüm oturumları sonlandırın ve CLI komutunu çalıştırın: clear lb persistantSessions
. - Savunmasız cihazlara erişen kimlikler için kimlik bilgilerini değiştirin.
- Özellikle tek faktörlü kimlik doğrulamada şüpheli etkinlik tespit edilirse, daha geniş bir kimlik bilgisi kapsamını rotasyona tabi tutun.
- Algılanan web kabukları veya arka kapılar için cihazları en son temiz kaynaklı görüntüyle yeniden oluşturun.
- Yedeklemeden geri yükleme yapıyorsanız, yedekleme yapılandırmasında arka kapı olmadığından emin olun.
- Girişi güvenilir IP’lerle kısıtlayarak harici saldırılara maruz kalma olasılığını sınırlayın.
Ayrıca, cihazların aşağıdaki ürün yazılımı sürümlerine yükseltilmesine öncelik verilmelidir:
- NetScaler ADC ve NetScaler Gateway 14.1-8.50 ve üzeri
- NetScaler ADC ve NetScaler Gateway 13.1-49.15 ve sonraki 13.1 sürümleri
- NetScaler ADC ve NetScaler Gateway 13.0-92.19 ve sonraki 13.0 sürümleri
- NetScaler ADC 13.1-FIPS 13.1-37.164 ve 13.1-FIPS’in sonraki sürümleri
- NetScaler ADC 12.1-FIPS 12.1-55.300 ve 12.1-FIPS’in sonraki sürümleri
- NetScaler ADC 12.1-NDcPP 12.1-55.300 ve 12.1-NdcPP’nin sonraki sürümleri
Bu, Citrix’in bu yıl ürünlerinde düzelttiği ikinci sıfır gün hatasıdır. CVE-2023-3519 olarak tanımlanan önceki bir hata, temmuz ayının başlarında vahşi doğada istismar edildi ve birkaç hafta sonra bir düzeltme aldı.