Binlerce şirket, bilgisayar korsanlarının Amerika Birleşik Devletleri’ndeki en az bir kritik altyapı kuruluşunu hedef almak için halihazırda suistimal ettiği, aktif olarak sömürülen bir Citrix sıfır gününden dolayı risk altında olabilir.
citrix geçen hafta alarm çaldı NetScaler ADC ve NetScaler Gateway cihazlarını etkileyen, 10 üzerinden 9,8 önem derecesi ile CVE-2023-3519 olarak izlenen kritik dereceli kusur hakkında. Kurumsal kullanıma yönelik bu ürünler, güvenli uygulama teslimi ve VPN bağlantısı sağlamak için tasarlanmıştır ve dünya çapında, özellikle kritik altyapı kuruluşlarında yaygın olarak kullanılmaktadır.
Citrix, sıfır günün, kimliği doğrulanmamış, uzaktaki bir saldırganın bir cihazda rasgele kod çalıştırmasına izin verebileceği konusunda uyardı ve güvenlik açığından vahşi ortamda yararlanıldığına dair kanıtları olduğunu söyledi. Citrix, güvenlik açığına yönelik güvenlik güncellemelerini 18 Temmuz’da yayınladı ve müşterilerini yamaları mümkün olan en kısa sürede yüklemeye çağırıyor.
Citrix’in uyarısından günler sonra, ABD siber güvenlik kurumu CISA açıklığa kavuşmuş güvenlik açığının Haziran ayında bir ABD kritik altyapı kuruluşuna karşı kullanıldığı ve Temmuz ayı başlarında teşkilata bildirildiği.
CISA, bilgisayar korsanlarının bu açıktan yararlanarak kuruluşun NetScaler ADC cihazına bir web kabuğu bırakarak ağdaki kullanıcılar, gruplar, uygulamalar ve cihazlar hakkında bilgiler de dahil olmak üzere kuruluşun Active Directory’sinden veri toplamalarına ve bu verilerden sızmalarına olanak tanıdığını söyledi. Ancak hedeflenen cihaz kuruluşun ağında izole edildiğinden, bilgisayar korsanları yanal olarak hareket edemedi ve etki alanı denetleyicisini tehlikeye attı.
Bu kuruluş, sistemlerini hedef alan bilgisayar korsanlarını başarılı bir şekilde savuşturmayı başarırken, diğer binlerce kuruluş risk altında olabilir. İnterneti daha güvenli hale getirmek için çalışan kar amacı gütmeyen bir kuruluş olan Shadowserver Vakfı, bulduğunu söyledi Yamalar uygulanmadığı takdirde dünya çapında 15.000’den fazla Citrix sunucusu tehlikeye girme riskiyle karşı karşıya.
Analizlerine göre en fazla yama uygulanmamış sunucu sayısı ABD’de (5.700), ardından Almanya (1.500), Birleşik Krallık (1.000) ve Avustralya’da (582) bulunuyor.
Bu güvenlik açığının istismar edilmesinin arkasında kimin olduğu henüz bilinmiyor, ancak Citrix güvenlik açıklarının hem mali amaçlarla hareket eden siber suçlular hem de Çin ile bağlantılı gruplar da dahil olmak üzere devlet destekli tehdit aktörleri tarafından kullanıldığı biliniyor.
İçinde bir blog yazısı Hafta sonu yayınlanan Mandiant araştırmacıları, izinsiz girişleri henüz bilinen herhangi bir tehdit grubuna bağlayamasalar da, etkinliğin “2022’de Citrix ADC’lere karşı bilinen yeteneklere ve eylemlere dayalı olarak China-nexus aktörlerinin önceki operasyonlarıyla tutarlı” olduğunu söyledi. Mandiant, izinsiz girişlerin muhtemelen bir istihbarat toplama kampanyasının parçası olduğunu sözlerine ekledi ve casusluk güdümlü tehdit aktörlerinin, güvenlik duvarları, IoT cihazları, hipervizörler ve VPN’ler gibi uç nokta algılama ve müdahale çözümlerini desteklemeyen teknolojileri hedef almaya devam ettiğini kaydetti.
Araştırmacılar, “Mandiant, savunma sanayi üssü (DIB), hükümet, teknoloji ve telekomünikasyon kuruluşlarında yıllar boyunca şüpheli China-nexus gruplarının sıfır gün güvenlik açıklarından yararlandığı ve kullanıcı kimlik bilgilerini çalmak ve kurban ortamlarına uzun vadeli erişimi sürdürmek için özel kötü amaçlı yazılım yerleştirdiği düzinelerce saldırıyı araştırdı” dedi.