Citrix, NetScaler Uygulama Dağıtım Kontrolü (ADC) ve Ağ Geçidi cihazlarındaki, kimlik doğrulaması yapılmamış uzaktaki saldırganlara, etkilenen sistemlerin belleğinden potansiyel olarak hassas bilgiler elde etme yolu sağlayan bir güvenlik açığını sessizce gidermiş gibi görünüyor.
Bishop Fox’taki araştırmacılara göre hata, Citrix’in geçen yıl açıkladığı aynı iki teknolojideki kritik bir sıfır gün güvenlik açığı olan “CitrixBleed” (CVE-2023-4966) ile neredeyse aynıydı ancak onun kadar ciddi değildi. ve kusuru Ocak ayında Citrix’e bildirdi.
CitrixBleed Gibi Ama O Kadar Ciddi Değil
Saldırganlar istismar edildi CitrixBleed geniş çapta fidye yazılımı dağıtmabilgi çalmak ve diğer kötü amaçlar. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Bu güvenlik açığını hedef alan yaygın saldırılara ilişkin raporlara atıfta bulunarak, etkilenen kuruluşlara sistemlerini hızlı bir şekilde NetScaler’in yamalı sürümlerine güncellemelerini öneren birçok kişi arasında yer aldı. Boeing ve Comcast Xfinity saldırganların hedef aldığı birkaç büyük kuruluş arasındaydı.
Buna karşılık, kusur Piskopos Fox keşfetti Ocak ayı daha az tehlikeliydi çünkü saldırganların, savunmasız bir sistemden yüksek değere sahip herhangi bir bilgiyi ele geçirme olasılıkları daha düşük olacaktı. Buna rağmen, Bishop Fox, NetScaler sürüm 13.1-50.23’teki hatanın, bir saldırganın etkilenen cihazların işlem belleğinden HTTP istek gövdeleri de dahil olmak üzere hassas bilgileri zaman zaman yakalamasına kapıyı açık bıraktığını söyledi.
Şirket ayrıca Citrix’in 1 Şubat’ta güvenlik açığının açıklandığını kabul ettiğini söyledi. Ancak Bishop Fox, Citrix’in kusura bir CVE tanımlayıcısı atamadığını, çünkü sorunu açıklama öncesinde NetScaler 13.1-51.15 sürümünde zaten ele aldığını söyledi. Citrix’in bu güvenlik açığını herhangi bir zamanda müşterilere özel olarak açıklayıp açıklamadığı veya Bishop Fox’un gündeme getirdiği sorunu bir güvenlik açığı olarak değerlendirip değerlendirmediği henüz belli değil. Piskopos Fox, şu ana kadar kusurun kamuya açıklanmadığını söyledi.
Citrix, şirketin kusuru 13.1-51.15 sürümünde ele almadan önce ne zaman açıkladığı veya açıklayıp açıklamadığına ilişkin Dark Reading talebine hemen yanıt vermedi.
Sınır Dışı Bellek Sorunu
Bu haftaki bir blogda Bishop Fox, keşfettiği güvenlik açığını, kimliği doğrulanmamış bir sınır dışı bellek sorunu olarak tanımladı; bu, temelde bir saldırganın, bir programın amaçlanan sınırlarının ötesindeki bellek konumlarına erişmesine izin veren hatalar anlamına geliyor. Bishop Fox, araştırmacılarının, etkilenen bir cihazın belleğinden HTTP istek gövdeleri de dahil olmak üzere hassas bilgileri yakalamak için bu güvenlik açığından yararlandığını söyledi. Blog gönderisinde şu ifadeler yer alıyor: “Bu, potansiyel olarak saldırganların, NetScaler ADC ve Gateway cihazlarında oturum açan kullanıcılar tarafından gönderilen kimlik bilgilerini veya cihaz tarafından kullanılan kriptografik materyali ele geçirmesine olanak tanıyabilir.”
CitrixBleed’de olduğu gibi, Bishop Fox’un keşfettiği kusur, uzaktan erişim ve kimlik doğrulama, yetkilendirme ve denetim (AAA) sunucuları olarak kullanıldığında NetScaler bileşenlerini etkiledi. Özellikle güvenlik sağlayıcısı, Ağ Geçidi ve AAA sanal sunucusunun HTTP ana bilgisayar istek başlıklarını güvenli olmayan bir şekilde işlediğini tespit etti; bu, CitrixBleed’in altında yatan nedenle aynıydı. Şirketin kavram kanıtlama kodu, uzaktaki bir saldırganın, bir saldırı için potansiyel olarak yararlı bilgileri almak üzere güvenlik açığından nasıl yararlanabileceğini gösterdi.
Şirket, “Bishop Fox personeli, savunmasız Citrix dağıtımlarını analiz etti ve açıklanan belleğin, bazen POST istek gövdeleri de dahil olmak üzere HTTP isteklerinden gelen verileri içerdiği örnekleri gözlemledi” dedi. Bishop Fox, etkilenen NetScaler sürümünü çalıştıran kuruluşların Sürüm 13.1-51.15 veya sonraki sürümlere yükseltmelerini önerdi.
