Çevrimiçi olarak maruz kalan binlerce Citrix NetScaler ADC ve Ağ Geçidi sunucuları, vahşi doğada kimlik doğrulanmamış saldırganlar tarafından sıfır gün olarak sömürülen kritik bir uzaktan kod yürütme (RCE) hatasına karşı savunmasızdır.
İnternet güvenliğini artırmaya adanmış kar amacı gütmeyen bir kuruluş olan Shadowserver Vakfı'ndan güvenlik araştırmacıları, bu hafta, sürüm bilgilerine dayanarak kusurdan yararlanan saldırılara (CVE-2023-3519) maruz kaldığını belirledi.
Shadowserver, "Tüm IP'leri bir Citrix örneğinde bir sürüm karma gördüğümüz yerde etiketliyoruz. Bu, Citrix'in son revizyonlarda sürüm karma bilgilerini kaldırdığı gerçeğidir." Dedi.
Diyerek şöyle devam etti: "Bu nedenle, hala sürüm karmalarını sağlayan tüm örneklerin güncellenmemesini ve savunmasız olabileceğini varsaymak için güvenlidir."
Ayrıca, savunmasız olduğu bilinen bazı revizyonlar, ancak sürüm karması olmadan etiketlenmediği ve maruz kalan Citrix sunucularının sayısına eklenmediği için de yetersiz kaldıklarını belirttiler.
Citrix, 18 Temmuz'da bu RCE güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı ve "CVE-2023-3519'un istismarsız cihazlarda istismarları gözlemlendiğini" ve müşterileri yamaları mümkün olan en kısa sürede yüklemeye çağırdı.
Şirket, açılmamış NetScaler cihazlarının bir ağ geçidi (VPN sanal sunucusu, ICA proxy, CVPN, RDP proxy) veya bir kimlik doğrulama sanal sunucusu (sözde AAA sunucusu) saldırılara karşı savunmasız olması gerektiğini de sözlerine ekledi.
CVE-2023-3519 RCE Zero-Day, bir tehdit aktörünün bir bilgisayar korsanı forumunda Citrix ADC sıfır gün kusurunu reklam yapmaya başladığı Temmuz ayının ilk haftasından bu yana çevrimiçi olarak mevcuttu.
BleepingComputer ayrıca Citrix'in sıfır gün reklamını öğrendiğinin ve resmi bir açıklama yapmadan önce bir yama üzerinde çalıştığının farkında oldu.
Aynı gün Citrix, CVE-2023-3466 ve CVE-2023-3467 olarak izlenen iki yüksek şiddetli güvenlik açıkını yamaladı.
Birincisi, saldırganların aynı ağlardaki hedefleri Web tarayıcısına kötü niyetli bir bağlantı yüklemesine kandırarak yansıyan siteler arası komut dosyası (XSS) saldırılarını başlatmasına izin verirken, ikincisi kök izinleri almak için ayrıcalıkları yükseltmeyi mümkün kılar.
İkincisi çok daha etkili olsa da, IP (NSIP) veya bir alt ağ IP (SNIP) adresi aracılığıyla savunmasız cihazların yönetim arayüzüne doğrulanmış erişim gerektirir.
CISA ayrıca Çarşamba günü ABD federal ajanslarına, 9 Ağustos'a kadar devam eden saldırılara karşı Citrix sunucularını ağlarında güvence altına almalarını emretti ve hatanın ABD kritik bir altyapı organizasyonunun sistemlerini ihlal etmek için zaten kullanıldığını söyledi.
Cisa Perşembe günü yayınlanan ayrı bir danışmanda, "Haziran 2023'te tehdit aktörleri, kritik bir altyapı kuruluşunun NetScaler ADC cihazına bir web kabuğu bırakmak için bu güvenlik açığını sıfır gün olarak kullandı." Dedi.
"Webshell, aktörlerin kurbanın Active Directory'de (AD) keşif yapmalarını ve reklam verilerini toplamasını ve dışarı atmasını sağladı. Aktörler, bir alan denetleyicisine yanal olarak hareket etmeye çalıştılar, ancak cihaz engellenen hareket için ağ segmentasyon kontrolleri."
NetScaler ADC Hata Bize kritik altyapı orgunu ihlal etmek için sömürüldü
Yeni Kritik Citrix ADC ve Gateway Kususu Sıfır Gün olarak sömürüldü
Popüler Ghostscript açık kaynaklı PDF kütüphanesinde bulunan eleştirel RCE
Fortinet, Fortios, Fortiproxy Cihazlardaki Kritik RCE Kusurunu uyarıyor
Microsoft: NATO Zirvesi Saldırılarında Sıralı Ofis Zero Day
Kaynak: Bleeping Computer