Citrix daha önce Citrix NetScaler Uygulama Teslim Denetleyicisinde (ADC) tehdit aktörlerinin uzaktan kod yürütmesine izin veren bir Zero-Day güvenlik açığıyla keşfedilmişti.
Zero-Day’in vahşi ortamda istismar edildiği tespit edildi ve CVE-2023-3519’a 9,8 önem derecesiyle verildi (kritik).
Citrix, güvenlik açığını gidermek için yamalar yayınladı, ancak bir Citrix aracının etkilenip etkilenmediğini bulma seçeneği yoktu.
NCC Group’un bir parçası olan Fox-IT’nin yakın tarihli bir raporuna göre, 1900’den fazla NetScaler’a hala bir arka kapı bulaştığı tespit edildi.
Ancak, birkaç analizden sonra araştırmacılar, CVE-2023-3519 ile ilgili istismar sonrası faaliyet kanıtı için Citrix cihazlarını tarayabilen bir GitHub aracı yayınladılar.
Bu araç, Sıfırıncı Gün incelemeleri sırasında bulunan birden çok uzlaşma göstergesinden oluşur.
Citrix IOC Tarayıcı CVE-2023-3519
Mandiant, bu aracı, kuruluşların tehdit aktörlerinin zaten tehlikeye attığı cihazları belirlemesine yardımcı olma çabası olarak yayınladı.
Mandiant, kuruluşlara savunmasız ve internete bağlı tüm cihazları taramak için bu aracı kullanmalarını tavsiye etti.
Ayrıca araç, canlı bir cihazı veya monte edilmiş bir adli tıp görüntüsünü taramak için tasarlanmıştır.
Citrix IOC tarayıcı, CVE-2023-3519’a yönlendiren herhangi bir kanıtı belirlemek için günlük kaynaklarını ve sistem adli yapılarını analiz etmek için kullanılabilir.
Herhangi bir kanıt bulunması durumunda, güvenlik olayının kapsamı ve kapsamı hakkında ayrıntıları toplamak için kuruluşlara risk sisteminde adli inceleme yapmaları önerilir.
Özellikler
Bu araç, tarama,
- Kötü amaçlı yazılım olabilecek dosya sistemi yolu
- Şüpheli komutlar için kabuk geçmişi
- IOC’lerle eşleşen NetScaler dizinleri ve dosyaları
- Şüpheli dosya izinleri veya sahipliği
- Crontab girişleri
- Sistemde çalışan kötü amaçlı işlemler
Bu araç, yalnızca kuruluşların güvenliği ihlal edilmiş sistemleri önlemesine ve bu sistemlere karşı tarama yapmasına yardımcı olmayı amaçlayan Citrix ve Mandiant ile işbirliği içinde geliştirilmiştir.
Ayrıca Mandiant, sistemdeki birçok dosyanın kesilebileceği, yuvarlanabileceği veya sistem yeniden başlatılabileceği için aracın %100 doğru olmayacağından da bahsetti.
Bazı durumlarda, saldırganların sistemdeki kanıtları kurcalaması veya rootkit’lerle uzlaşmayı gizlemesi de mümkündür.
Bu nedenle kuruluşların, Citrix IOC tarayıcı ile tarama yaptıktan sonra bile cihazları tamamen taraması önerilir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.