Citrix NetScaler ADC ve NetScaler Gateway, muhtemelen finansal motivasyona sahip FIN8 tehdit aktörüyle bağlantısı olan bir fidye yazılımı grubunun fırsatçı saldırılarına karşı yüksek risk altındadır.
Kritik kod yerleştirme güvenlik açığı CVE-2023-3519 olarak takip ediliyor ve Citrix’in uygulama teslimi, yük dengeleme ve uzaktan erişim teknolojilerinin birden fazla sürümünü etkiliyor.
NetScaler ürünleri, hedeflenen ağlara sağladıkları yüksek ayrıcalıklı erişim nedeniyle popüler saldırgan hedefleridir. Birçok kuruluş, uzaktaki çalışanlar için kurumsal uygulamalara ve verilere güvenli erişim sağlamak amacıyla bunun gibi ağ geçidi teknolojilerini devreye aldı.
Kimliği Doğrulanmamış Uzaktan Kod Yürütme
CVE-2023-3519, kimliği doğrulanmamış uzaktaki bir saldırganın etkilenen sistemlerde rastgele kod yürütmesine olanak tanır ve CVSS güvenlik açığı derecelendirme ölçeğinde 10 üzerinden 9,8’lik maksimum önem derecesine yakın bir değere sahiptir. Saldırganlar, bir kuruluşun VPN sanal sunucusu, ICA proxy’si, RDP proxy’si veya kimlik doğrulama, yetkilendirme ve muhasebe (AAA) sunucusu olarak yapılandırmış olabileceği etkilenen herhangi bir NetScaler sistemindeki güvenlik açığından yararlanabilir.
Citrix, kusuru ilk olarak 18 Temmuz’da aktif istismar faaliyeti sırasında açıkladı ve kuruluşların sistemlerini derhal yazılımın yamalı sürümlerine güncellemelerini önerdi. Bu açıklamanın ardından birden fazla tedarikçi, kusuru hedef alan kötü amaçlı faaliyetler gözlemlediğini bildirdi.
Bunlardan biri olan Sophos, geçtiğimiz hafta, Ağustos ortasında bir tehdit aktörünün bu güvenlik açığını “etki alanı çapında bir saldırı gerçekleştirmek için bir kod yerleştirme aracı” olarak kullandığını gözlemlediğini söyledi.
Saldırı zinciri, tehdit aktörünün Windows Update istemcisiyle ilişkili yasal bir süreç olan “wuauclt.exe”ye ve Windows Yönetim Araçları (WMI) hizmetinin hizmet ana bilgisayar süreci olan “wmiprvse.exe”ye kötü amaçlı veriler enjekte etmesini içeriyordu. Sophos, analizinin aynı zamanda tehdit aktörünün saldırının bir parçası olarak oldukça karmaşık PowerShell komut dosyaları kullandığını ve rastgele adlandırılmış birkaç PHP Web kabuğunu kurban sistemlerine bıraktığını gösterdiğini söyledi. Bu tür Web kabukları, rakiplere Web sunucularında sistem düzeyindeki komutları uzaktan yürütme yolu sağlar.
FIN8 Tehdit Grubuyla Potansiyel Bağlantı
Sophos, tehdit aktörünün Ağustos ortası saldırılarında kullandığı taktik, teknik ve prosedürlerin (TTP), bu yaz CVE-2023-3519 içermeyen önceki saldırılarda gözlemlediği TTP’lere benzer olduğunu söyledi. Benzerlikler arasında aynı kötü amaçlı altyapının ve barındırma hizmetlerinin kullanılması, sıra dışı PowerShell komut dosyaları ve dosya aktarımları için PuTTY Güvenli Kopyalama Protokolünün kullanılması yer alıyordu. Sophos, en son saldırıların arkasında muhtemelen fidye yazılımı dağıtımı konusunda uzmanlaşmış bilinen bir tehdit aktörünün olduğu sonucuna vardı.
Sophos tehdit istihbaratı direktörü Christopher Budd, “Sophos, bu aktivitede FIN8’e atfedilen diğer yayınlanmış aktivitelerle tutarlı örtüşmeler gözlemledi” diyor. “Bu kampanyayla ilgili Sophos X-Ops’un başlığında belirtildiği gibi, Citrix güvenlik açığı kullanılmadan önce bu yazın başlarında saldırılar gördük ve Citrix güvenlik açığı Ağustos ortasında dahil edildi.”
FIN8, en az 2016’dan bu yana aralıklı olarak faaliyet gösteren, finansal motivasyona sahip, iyi bilinen bir tehdit grubudur. Teknoloji, finansal hizmetler, perakende ve konaklama gibi birçok sektördeki kuruluşlara yönelik çok sayıda saldırıyla ilişkilendirilmiştir. Grup, göreceli bir durgunluğun ardından Temmuz ayında yeniden ortaya çıktı; bu sefer BlackCat fidye yazılımını dağıtma kampanyasıyla. Budd, “Sophos, bu saldırıların doğası gereği fırsatçı olduğuna inanıyor ve faaliyetler, bunun yeni araçlar kullanan köklü bir grup olduğunu yansıtıyor” diyor.
Yamalanmış Olsa Bile IoC’leri Kontrol Edin
Sophos raporu, Citrix ADC ve Gateway ürünlerini hedef alan kötü amaçlı etkinliklerin son haftalarda kayıt altına alındığı birkaç rapordan biri. Ağustos başında Fox-IT, dünya çapında 1.900’den fazla Citrix NetScaler cihazının kitlesel istismar kampanyasıyla arka kapıya kapatıldığını gözlemlediğini bildirdi. Fox-IT, tehdit aktörünün CVE-2023-3519’u savunmasız cihazları arayan ve üzerlerine bir Web kabuğu bırakan bir komut dosyası kullanarak fırsatçı bir şekilde istismar ettiğini değerlendirdi. Fox-IT, “Düşman, NetScaler’a yama uygulandığında ve/veya yeniden başlatıldığında bile bu web kabuğuyla keyfi komutları çalıştırabilir” uyarısında bulundu. “Bu yazının yazıldığı sırada 1.900’den fazla NetScaler arka kapıda kalmıştı.”
Güvenlik satıcısı, kuruluşların kusur için Citrix yamasını uygulamış olsalar bile NetScaler cihazlarında bir uzlaşma göstergesi kontrolü yapmalarını öneriyor.
Kötü amaçlı İnternet etkinliklerini izleyen ve izleyen kar amacı gütmeyen Shadowserver Vakfı, 7 Ağustos’ta CVE-2023-3519’u hedef alan en az üç ayrı kampanya tespit ettiğini söyledi. Kampanyalardan ikisi, tehdit aktörünün savunmasız bir ana makineye PHP Web kabuğu bırakmasını içeriyordu; üçüncüsü ise saldırganın bir Web kabuğu aracılığıyla kök düzeyinde kötü amaçlı komutlar yürütmesini içeriyordu. Vakıf, telemetrisinin o sırada dünya çapında en az 7.000 NetScaler ana bilgisayarının istismara açık olduğunu gösterdiğini söyledi.
Temmuz ayında, Citrix’in kusuru açıklamasının hemen ardından, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı da tehdit aktörünün TTP’lerini ve istismar etkinliğini tespit etme yöntemlerini içeren ayrıntılı bir tavsiye belgesi yayınladı.