Citrix NetScaler ADC ve Gateway cihazlarının yöneticileri, CVE-2023-3519 için düzeltmeleri hızlı bir şekilde uygulamış olsalar bile, kurulu web kabuklarının kanıtlarını kontrol etmelidir: Fox-IT araştırmacıları tarafından yakın zamanda yapılan bir internet taraması, %69’u bilgisayar destekli 1.800’den fazla arka kapılı NetScaler cihazı ortaya çıkardı. kusur için yama yapıldı.
Araştırmacılar, “Bu, çoğu yöneticinin güvenlik açığından haberdar olmasına ve o zamandan beri NetScaler’larını güvenlik açığı olmayan bir sürüme yamalamalarına rağmen, başarılı istismar belirtileri için (uygun şekilde) kontrol edilmediklerini gösteriyor” dedi.
CVE-2023-3519, NetScaler cihazlarına web kabukları bırakmak için istismar edildi
CVE-2023-3519, Citrix tarafından 18 Temmuz’da yamalanan, ancak daha önce ABD’deki kritik bir altyapı kuruluşuna yönelik hedefli saldırılarda sıfır gün olarak istismar edilmeyen, kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) güvenlik açığıdır.
O zamandan beri güvenliği ihlal edilmiş kuruluşlarda olay müdahale (IR) anlaşmalarına dahil olan çeşitli kuruluşların keşfettiği gibi, güvenlik açığı daha sonra otomatik bir şekilde büyük ölçekte kullanıldı.
Hollanda Güvenlik Açığı İfşa Enstitüsü ile işbirliği içinde Fox-IT araştırmacıları, bu saldırılarda kullanılan belirli web kabuklarını çalıştıran cihazların yerini tespit etmek için interneti tarıyor ve 1.828 örnekte bu cihazları buldu. Bu cihazlardan 1.248’i CVE-2023-3519 için yamalandı.
“Başlangıçta, istismarın 20 Temmuz ile 21 Temmuz arasında olduğuna inanıldığı için yalnızca 21 Temmuz’da yama uygulanmayan sistemleri taradık. Daha sonra, 21 Temmuz’da zaten yamalanmış olan sistemleri de taramaya karar verdik. Sonuçlar beklentilerimizi aştı. İnternet çapında yapılan taramaya göre, 9 Ağustos itibarıyla yaklaşık 2000 benzersiz IP adresinin bir web kabuğuyla arka kapıya kapatıldığı görülüyor” dediler.
Bu toplu otomatik saldırıyla ilgili ilginç olan şey, saldırganların 21 Temmuz’da tüm (31.000 kadar) savunmasız NetScaler cihazını değil, yalnızca 1.952’sini ele geçirmesi ve bu cihazların çoğunun Avrupa’da bulunması.
14 Ağustos 2023 itibarıyla arka kapılı Citrix NetScaler cihazlarına sahip ilk 20 ülke (Kaynak: Fox-IT)
“21 Temmuz’da Kanada, Rusya ve Amerika Birleşik Devletleri’nin hepsinde binlerce savunmasız NetScaler varken, bu NetScaler’ların neredeyse hiçbirinde web kabuğu bulunmadı. Şu an itibariyle, bu farklılıklar için net bir açıklamamız olmadığı gibi, hangi NetScaler’ların düşman tarafından hedef alındığını ve hangilerinin hedef alınmadığını açıklayan güvenilir bir hipotezimiz de yok. Ayrıca mağdur sektör açısından da belirli bir hedefleme görmüyoruz” dedi.
IOC’leri aramak için kullanılacak araçlar
Yönettikleri cihazlarda CVE-2023-3519’u düzeltmiş olsun ya da olmasın Fox-IT, işletme yöneticilerini aşağıdakileri kullanarak güvenlik ihlali kanıtı olup olmadığını tekrar kontrol etmeye çağırıyor:
- Fox-IT tarafından NetScaler cihazlarının adli görüntüleri üzerinde triyaj gerçekleştirmek için oluşturulmuş bir Python betiği ve
- Mandiant’ın canlı sistemlerde ilişkili uzlaşma göstergelerini (IOC’ler) ortaya çıkaran bash betiği
“Güvenlik izleri keşfedilirse, adli verileri güvence altına alın” tavsiyesinde bulundular.
“Bir web kabuğu bulunursa, etkinlikleri gerçekleştirmek için kullanılıp kullanılmadığını araştırın. Web kabuğunun kullanımı, NetScaler erişim günlüklerinde görünmelidir. Web kabuğunun yetkisiz faaliyetler gerçekleştirmek için kullanıldığına dair göstergeler varsa, saldırganın NetScaler’dan yanal olarak altyapınızdaki başka bir sisteme geçmek için başarılı adımlar atıp atmadığını belirlemek için daha geniş bir araştırma yapmak çok önemlidir.”