Mantiant, CVE-2023-3519 güvenlik açığından yararlanan yaygın saldırılarda bir Citrix NetScaler Uygulama Dağıtım Denetleyicisi (ADC) veya NetScaler Gateway cihazının tehlikeye girip girmediğini kontrol etmek için bir tarayıcı yayınladı.
Kritik CVE-2023-3519 Citrix Kususu, Temmuz ayı ortalarında sıfır gün olarak keşfedildi ve bilgisayar korsanları, savunmasız cihazlarda kimlik doğrulaması olmadan kod uzaktan yürütmek için aktif olarak sömürdü.
Citrix, mevcut sorunu ele almak için güvenlik güncellemeleri yaptıktan bir hafta sonra, Shadowserver, yamaları uygulamayan 15.000 internete maruz kalan cihaz olduğunu bildirdi.
Bununla birlikte, güvenlik güncellemelerini kuran kuruluşlar için bile, yama, saldırganlar tarafından işbirliği sonrası aşamada dikilen kötü amaçlı yazılımları, backdoorları ve web kabuklarını kaldırmadığından, tehlikeye girme riski kalır.
Günümüzde Mantiant, kuruluşların Citrix ADC ve Citrix ağ geçidi cihazlarını uzlaşma ve seanslama sonrası etkinlik belirtileri için incelemelerini sağlayan bir tarayıcı yayınladı.
Mantiant'ın yazısı, "Araç, mevcut uzlaşmaları belirlemek için en iyi çaba işi yapmak için tasarlandı."
Diyerek şöyle devam etti: "Zamanın% 100'ünü uzlaştırmayacak ve bir cihazın sömürüye karşı savunmasız olup olmadığını size söylemeyecektir."
Mandian't Ctrix IOC tarayıcı, çeşitli IOC'lerin varlığı için yerel dosya sistemini ve yapılandırma dosyalarını tarayacağından doğrudan bir cihazda veya monte edilmiş bir adli görüntüde çalıştırılmalıdır.
Bittiğinde, tarayıcı, aşağıda gösterildiği gibi herhangi bir uzlaşma belirtisi ile karşılaşırsa bir özet detaylandırma görüntüler.
Cihazın tehlikeye atıldığını tespit ederse, tarayıcı tespit edilen çeşitli uzlaşma göstergelerini listeleyen ayrıntılı bir rapor gösterecektir.
Tarayıcının Citrix cihazlarında aradığı uzlaşma göstergelerinden bazıları aşağıda listelenmiştir:
Tarayıcı aracını kullanma ve sonuçların yorumlanması hakkında daha fazla ayrıntı, Mantiant'ın proje için GitHub deposunda bulunabilir.
Tarayıcı uzlaşma belirtileri açıklarsa, farklı bir araç kümesi gerektiren ihlalin kapsamını ve kapsamını değerlendirmek için etkilenen cihazlar ve ağ parçaları üzerinde eksiksiz bir adli inceleme yapılması önerilir.
Saldırganların hala izlerini gizlemek için birçok yolu olduğu ve çoğu durumda bunu yapmak için yeterli zamana sahip olduğundan, bir sistemin tehlikeye girmediğinin garantisi olarak olumsuz bir sonucun alınmaması gerektiğini belirtmek önemlidir.
Herhangi bir zamanda savunmasız bir ürün yazılımı sürümü çalıştırırken tarayıcının İnternet'e maruz kalan tüm cihazlarda çalıştırılması önerilir.
Tarayıcı, Citrix ADC ve 12.0, 12.1, 13.0 ve 13.1 Citrix ağ geçidi sürümleri ile kullanılmak üzere tasarlanmıştır.
Hacking kampanyasında geri çekilen yaklaşık 2.000 Citrix NetScaler sunucusu
NetScaler ADC Hata Bize kritik altyapı orgunu ihlal etmek için sömürüldü
Yeni Kritik Citrix ADC ve Gateway Kususu Sıfır Gün olarak sömürüldü
Google Haftalık Krom Güvenlik Güncellemeleri ile Hacker'la savaşmak için
Norveç hükümeti BT sistemleri sıfır gün kusurunu kullanarak hacklendi
Kaynak: Bleeping Computer