En son yüksek profilli Citrix NetScaler güvenlik açığı için kritik bir güvenlik güncellemesi artık mevcut. Ama bir istismar da öyle. Ve bazı durumlarda ikincisinin kullanımı birincisine göre daha basit olabilir.
Citrix müşterileri için şu ana kadar yoğun bir hafta oldu. 23 Eylül’de, vahşi doğada aktif sömürüye ilişkin raporların ardından şirket, acil güncelleme için CVE-2023-4966NetScaler uygulama dağıtım denetleyicisi (ADC) ve Gateway ürünlerinde hassas bir bilginin açığa çıkması güvenlik açığı. Güvenlik açığına NIST tarafından 10 CVSS üzerinden “Yüksek” 7,5 puanı verildi, ancak Citrix tarafından “Kritik” 9,4 olarak derecelendirildi.
Daha sonra 24 Eylül’de Assetnote’tan araştırmacılar bir rapor yayınladılar. kavram kanıtından (PoC) yararlanma GitHub’a. Yaygın olarak kullanılabilen bu istismar, yol açabileceği ciddi sonuçlara kıyasla son derece basittir.
Intruder’ın ürün başkan yardımcısı Andy Hornegold, “Bu, çoğu yerde uzaktan erişim çözümüdür ve sonuç olarak çoğu zaman İnternet’e açıktır” diye açıklıyor. “Risk, birisinin bu güvenlik açığından yararlanabilmesi, oturum belirteçlerini okuyabilmesi, standart kullanıcılarınızdan biri olarak cihazınıza bağlanabilmesi ve ardından bu ayrıcalıklarla ortamınıza erişebilmesidir.”
Yeni Citrix İstismarı
Assetnote araştırmacıları CVE-2023-4966’nın merkezinde birbiriyle ilişkili iki işlevi keşfetti: ns_aaa_oauth_send_openid_config Ve ns_aaa_oauthrp_send_openid_config — her ikisi de OpenID Connect (OIDC) Discovery uç noktasının uygulanmasından sorumludur. OIDC, kimlik doğrulama ve yetkilendirme için kullanılan açık bir protokoldür.
Yama uygulanmamış bir NetScaler cihazında saldırgan, 24.812 baytı aşan bir istek göndererek arabelleği kolayca aşırı yükleyebilir. Araştırmacılar, neredeyse üç satır uzunluğundaki bir taleple cihazın hafıza sızıntısına neden olabileceğini keşfettiler.
Hornegold, yarı şakacı bir tavırla, “Sanki 1999’da hacklenmiş gibiyim” diyor. “Eskiden bu tür saldırıları gerçekleştirmenin varsayılan yolu bir sürü ‘a’yı bir pakete tıkmak ve neyin geri döndüğünü görmekti.”
Bu durumda şöyle açıklıyor: “Bir sürü ‘a’yı içeren bir isteği tek seferde gönderebilirim ve ardından yanıtın gövdesinde, o NetScaler cihazında oturum açan kişiler için oturum belirteçleri ortaya çıkmaya başlar, bu kullanıcılar olarak oturum açmak için bunu yeniden kullanabilirim.” Kötü niyetli bir kişi, kimliği doğrulanmış bir oturumu ele geçirerek, çok faktörlü kimlik doğrulama (MFA) da dahil olmak üzere tüm kontrolleri atlayabilir.
Yama Neden Yeterli Değil?
Citrix’e göreYazılımı, Fortune 500 şirketlerinin %98’i dahil olmak üzere dünya çapında 400.000’den fazla kuruluş tarafından kullanılmaktadır. Enlyft’e göreÖzellikle NetScaler, eBay ve Fujitsu gibi marka isimleri de dahil olmak üzere yaklaşık 84.000 şirket tarafından kullanılıyor.
NetScaler sadece popüler değil. Davetsiz misafir olarak 25 Eylül tarihli bir blog yazısında belirtildiÖzellikle altyapıyı bulut yerine şirket içinde çalıştırmayı tercih eden kritik sektörlerde popülerdir.
yani Citrix, 23 Eylül’de müşterilere tavsiyelerde bulundu En kısa sürede yama yapmak herkes için aynı derecede kolay olmayacaktır. 7/24 kesintisiz çalışma süresine ihtiyaç duyan kuruluşlar için “Bu biraz dengeleyici bir hareket” Hornegold diyor ki: “Çünkü bu hizmeti mümkün olduğu kadar uzun süre canlı tutmanız gerekiyor, özellikle de kritik ulusal altyapıdan bahsederken. Herhangi bir kesintinin risk değerlendirmesinin bir parçası olarak ele alınması gerekiyor.”
Sıradan işletmeler de yama yapıp bunu unutamayacaklar. Mandiant’ın geçen hafta işaret ettiği gibiele geçirilen oturumlar yamalar aracılığıyla bile devam edebilir, bu nedenle kuruluşların tüm aktif oturumları sonlandırmak gibi ekstra bir adım atması gerekir.
Ve bu bile yeterli olmayabilir. Mandiant, tehdit aktörlerinin Ağustos gibi erken bir tarihte CVE-2023-4966’dan yararlandığını gözlemledi ve bu durum, istismar sonrası kalıcılık ve alt erişim için sağlıklı bir zaman aralığı bıraktı.
Hornegold, “Orada tam iki aylık bir fırsat var” diye belirtiyor. “Peki eğer soru ‘Eğer bunu düzeltmezseniz olabilecek en kötü şey ne olabilir?’ —gerçekçi olmak gerekirse, en kötüsü çoktan gerçekleşmiş olabilir.”
