Binlerce Citrix ADC ve Gateway dağıtımları, satıcının son aylarda düzelttiği iki eleştirel-şiddetli güvenlik sorununa karşı savunmasız kalıyor.
İlk kusur CVE-2022-27510, 8 Kasım'da düzeltildi. Her iki Citrix ürününü de etkileyen bir kimlik doğrulama baypası. Bir saldırgan, cihaza yetkisiz erişim elde etmek, uzak masaüstü devralmayı gerçekleştirmek veya giriş kabarık kuvvet korumasını atlamak için onu kullanabilir.
İkinci hata, 13 Aralık'ta açıklanan ve yamalanan CVE-2022-27518 olarak izlenir. Kimlik doğrulanmamış saldırganların savunmasız cihazlarda uzaktan komut yürütmesini ve bunların kontrolünü ele geçirmesini sağlar.
Tehdit aktörleri, Citrix bunu düzeltmek için bir güvenlik güncellemesi yayınladığında CVE-2022-27518'den yararlanıyordu.
Bugün, NCC Group’un Fox IT ekibindeki araştırmacılar, halka açık Citrix uç noktalarının çoğu güvenli bir versiyona güncellenirken, binlerce kişinin saldırılara karşı savunmasız kaldığını bildiriyor.
Fox IT analistleri Web'i 11 Kasım 2022'de taradı ve toplam 28.000 Citrix sunucusu buldu.
Maruz kalanlardan kaçının iki kusura karşı savunmasız olduğunu belirlemek için, araştırmacılar sunuculardan HTTP yanıtına dahil olmayan sürüm numaralarını öğrenmek zorunda kaldılar.
Bununla birlikte, yanıtlar, onları Citrix ADC ve Gateway ürün sürümleriyle eşleştirmek için kullanılabilecek MD5 karma benzeri parametreler taşıdı.
Bu nedenle, ekip Citrix, Google Cloud Marketplace, AWS ve Azure'dan VM'lerde ve eşleşen karmaları sürümlerle elde edebilecekleri tüm Citrix ADC sürümlerini indirdi ve konuşlandırdı.
Verilen sürümlerle eşleştirilemeyen karmalar için, araştırmacılar yapı tarihini bulmaya ve sürüm numaralarını buna göre çıkarmaya başvurdular.
Bu, bilinmeyen sürümlerin (yetim karmalar) sayısını daha da azalttı, ancak genel olarak, çoğu karma belirli ürün sürümlerine bağlanmıştı.
Nihai sonuçlar aşağıdaki grafikte özetlenmiştir, bu da 28 Aralık 2022'den itibaren çoğunluğun iki güvenlik konusundan etkilenmeyen 13.0-88.14 sürümünde olduğunu göstermektedir.
En popüler ikinci versiyon 12.1-65.21 idi, belirli koşullar karşılanırsa CVE-2022-27518'e karşı savunmasız, 3.500 uç noktada çalışıyordu.
Bu makinelerin sömürülebilir olması gereksinimleri SAML SP veya IDP konfigürasyonlarının kullanımını istemektedir, yani 3.500 sistemin tümü CVE-2022-27518'e karşı savunmasız değildir.
Daha sonra CVE-2022-27510'a karşı savunmasız 1000'den fazla sunucu ve her iki kritik hataya karşı potansiyel olarak savunmasız yaklaşık 3.000 uç nokta var.
Bilinmeyen Citrix sürüm numaraları ile karma döndüren tespitler üçüncü sırada yer alarak, her iki kusura da karşı savunmasız olabilecek veya olmayabilecek 3.500'den fazla sunucuyu sayıyor.
Yama hızı ile ilgili olarak, ABD, Almanya, Kanada, Avustralya ve İsviçre, ilgili güvenlik tavsiyelerinin yayınlanmasına hızla yanıt verdi.
Fox IT ekibi, blogunun henüz son kritik kusurlar için güvenlik güncellemelerini uygulamayan Citrix yöneticileri üzerinde farkındalık yaratmaya yardımcı olacağını umuyor ve istatistikler, tüm güvenlik boşluklarını kapatmak için hala yapılacak çok iş olduğunu vurguluyor.
Bilgisayar korsanları kritik Citrix ADC ve Gateway Zero Günü'nden yararlanıyor, şimdi yama
Citrix, yöneticileri eleştirel ADC, Gateway Auth Bypass yamaya çağırıyor
AMD, ARM, HPE, Dell, diğerlerinden şiddetli ami megarac kusurları darbe sunucuları
Yeni Redigo kötü amaçlı yazılım, Redis sunucularında gizli arka kapı bırakıyor
Yeni Linux kötü amaçlı yazılım, arka kapı WordPress sitelerine 30 eklenti istismarı kullanıyor
Kaynak: Bleeping Computer