LockBit 3.0 çetesinin fidye yazılımı bağlı kuruluşları, “Citrix Bleed” olarak adlandırılan güvenlik açığına yönelik saldırılarını artırıyor ve bunun sonucunda, acil düzeltmenin bir seçenek olmadığı durumlarda, CISA ve Citrix’in, etkilenen cihazları çevrimdışına alma yönünde yeniden uyarıları artıyor.
Kritik hata (CVE 2023-4966, CVSS 9.4), NetScaler Web uygulaması dağıtım kontrolünde (ADC) ve NetScaler Ağ Geçidi cihazlarında bulundu ve Mandiant’ın sınırlı sayıda sıfır gün olarak kullanılması konusunda uyarmasının ardından Ekim ayı sonlarında yama uygulandı. Hedefli siber saldırılar. Ancak, özellikle kamuya açık kavram kanıtlama saldırılarının (PoC’ler) hızlı bir şekilde piyasaya sürülmesinden sonra, daha fırsatçı tehdit aktörlerinin dikkatini hızla çekti.
Citrix Bleed’e Fidye Yazılımı İlgisi Artıyor
CISA’nın bugün uyardığı gibi, hata, kurumsal mücevherlere nispeten kolay bir kimlik doğrulama bypass yolu sunuyor; bu, Boeing, Avustralya nakliye devi DP World ve Boeing dahil olmak üzere bir dizi hedefe saldırı düzenleyen LockBit 3.0 kullanıcılarının gözünden kaçmadı. ICBC, Çin’in devlet bankası ve dünyanın en büyük finans kurumu.
Risk oldukça ciddi: “Citrix Bleed, tehdit aktörlerinin parola gereksinimlerini ve çok faktörlü kimlik doğrulamayı (MFA) atlamalarına olanak tanıyarak meşru kullanıcı oturumlarının başarıyla ele geçirilmesine olanak tanıyor.” ajansı ortak bir danışma belgesinde uyardı FBI, MS-ISAC ve Avustralya Siber Güvenlik Merkezi ile. “Meşru kullanıcı oturumlarının ele geçirilmesi yoluyla, kötü niyetli aktörler, kimlik bilgilerini toplamak, yatay hareket etmek ve verilere ve kaynaklara erişmek için yüksek izinler elde ediyor.”
Güvenlik araştırmacısı Kevin Beaumont (aka GossitheDog), LockBit 3.0 saldırılarını kim takip ediyor?geçen hafta çetenin ve bağlı kuruluşlarının Citrix Bleed’i silahlandırma konusunda uzmanlaşmış bir “saldırı ekibi” oluşturduğunu ve bu ekibin muhtemelen gençlerden oluştuğunu söyledi.
“Şu anda yaşadığımız siber güvenlik gerçeği, gençlerin dijital bazukalarla organize suç çeteleri içinde ortalıkta dolaşmasıdır” dedi. “Muhtemelen ağınızın varlık envanteri sizden daha iyidir ve bir şeyin yamalanması için 38 kişinin değişiklik talebini onaylaması için dört hafta beklemeleri gerekmez.”
Bir kez daha vurgulamak isterim: Yamalama Yeterli Değil
Hacimli saldırı faaliyeti sırasında ne yapılacağı konusunda CISA, Citrix Bleed için ayrıntılı iyileştirme rehberliği, tespit yöntemleri ve risk göstergeleri (IOC’ler) sunarken Citrix, tavsiye niteliğindeki tavsiyesinde yama uygulamasının etkilenen örnekleri korumak için yeterli olmadığına dair önceki uyarısını yineledi çünkü güvenliği ihlal edilmiş NetScaler oturumları yama sonrasında da savunmasız olmaya devam edecek.
Citrix 20 Kasım’da şunları kaydetti: “Güvenlik bülteninde listelenen etkilenen yapılardan herhangi birini kullanıyorsanız, güncellenmiş sürümleri yükleyerek hemen yükseltme yapmalısınız.” “Yükseltme işleminden sonra tüm aktif veya kalıcı oturumları kaldırmanızı öneririz. “
Başkan yardımcısı John Gallagher şöyle ekliyor: “Kuruluşlar, tüm uygulamaları süreç/PID düzeyine kadar bulma, yama düzeylerini bilme ve uygulamayı tamamen sıfırlama (yani tüm aktif veya kalıcı oturumları sonlandırma) becerisine sahip olma yeteneklerini yeniden değerlendirmelidir.” Viakoo’daki Viakoo Labs’tan: “Çok fazla kuruluş henüz bu güvenlik açığını düzeltmeyi başaramadı ve bunu gerçekleştirenler bile süreç düzeyinde kalıcılık nedeniyle tehdidi tam olarak azaltamıyor.”
Hem CISA’nın hem de Citrix’in uyarıları, örneklerin yamalanması ve öldürülmesi acil bir seçenek değilse, savunmasız cihazların yalıtılmasının önemini yineledi; bu hatanın, tehdit aktörlerinin hedefleyeceği listenin en üst sıralarında yer alması muhtemel.
Menlo Security’nin baş güvenlik mimarı Lionel Litty, “Citrix’e göre ürünleri Fortune 500 şirketlerinin %90’ından fazlası tarafından kullanılıyor” diyor. “Bu cihazlar, saldırı yüzeyini araştırmak için IP, TCP, TLS ve HTTP protokollerini manipüle edebilen istemcilere doğrudan maruz kalıyor. Ve bu güvenlik açığı nedeniyle ön kimlik doğrulama sorunumuz var, bu da bir saldırganın kimlik bilgilerine sahip olmasına gerek olmadığı anlamına geliyor Bu faktörlerin birleşimi bu saldırganı altın kılıyor.”
Kuruluşlar uyarıları, birçok güvenlik ekibinin çekirdek ekip çalıştıracağı ABD’deki Şükran Günü tatilinden hemen önce yayınladı. ReliaQuest’in yakın zamanda yaptığı bir analiz, binlerce kuruluşun tehdide maruz kaldığını gösterdi.