Yönetişim ve Risk Yönetimi , Yama Yönetimi
Çevrimiçi Taramalar, 1.200’den Fazla Yamalı NetScaler Cihazının Arka Kapılı Olduğunu Gösteriyor
Bay Mihir (MihirBagwe) •
16 Ağustos 2023
Hollandalı güvenlik araştırmacıları, bilgisayar korsanlarının Citrix NetScaler cihazlarındaki sıfırıncı gün güvenlik açığından yararlanmak için sistem yöneticilerinden daha hızlı hareket ederek bir yama sonrasında bile aktif kalan web kabuklarını bıraktığını belirtiyor.
Ayrıca bakınız: CISO’ların Gerileme Dönemini Aşması İçin 10 Kemer Sıkma Önerisi
Delft merkezli Fox-IT ve kar amacı gütmeyen Hollanda Güvenlik Açığı Açıklama Enstitüsü tarafından yürütülen çevrimiçi taramalar, bilgisayar korsanları tarafından yerleştirilmiş bir arka kapı içeren 1.200’den fazla yamalı NetScaler cihazı gösteriyor. Saldırganlar, “bir NetScaler yamalandığında ve/veya yeniden başlatıldığında bile” bir web kabuğu aracılığıyla rastgele komutlar yürütmelerine izin veren bir kusurdan otomatik olarak yararlanıyor gibi görünüyor.
CVE-2023-3519 olarak izlenen ve Temmuz ayında yamalanan kusur, ağ geçidi sunucuları olarak yapılandırılmış Citrix Application Delivery Controller ve Gateway cihazlarını etkiliyor. Güvenlik firmaları ve ABD federal hükümeti, sistem yöneticilerini derhal yama yapmaya teşvik etmekte gecikmedi. Rapid7, “Citrix NetScaler ürün grubu, tüm beceri seviyelerindeki saldırganlar için popüler bir hedeftir ve istismarın hızla artmasını bekliyoruz” dedi. Fox-IT, 21 Temmuz itibarıyla dünya çapında sıfır gün kusuruna karşı savunmasız olan 31.000’den fazla savunmasız NetScaler cihazı saydı.
Fox-IT, 14 Ağustos itibarıyla 1.828 NetScaler bulut sunucusunun bir arka kapıyla ele geçirildiğini ve bunlardan 1.248 tanesine yama yapıldığını söyledi. Firma, Mandiant gibi uzlaşma göstergelerini tespit etmek için bir komut dosyası yayınladı.
Çevrimiçi tarama, güvenliği ihlal edilmiş NetScaler cihazlarının çoğunun Avrupa’da bulunduğunu gösteriyor, ancak Fox-IT, araştırmacıların “hedeflemede bir model ayırt edemediğini” söyledi. Görünüşe göre otomatikleştirilmiş süreçleri kullanan bilgisayar korsanları, büyük hacimli savunmasız cihazları göz ardı ederken aynı örneği birden çok kez ele geçirdi.