Citrix Cihazları Saldırı Altında: Kullanıcı Kimlik Bilgilerini Ele Geçirmek İçin NetScaler Kusurundan Yararlanıldı
Citrix NetScaler ADC ve Ağ Geçidi cihazlarında yakın zamanda açıklanan kritik bir kusur, tehdit aktörleri tarafından bir kimlik bilgisi toplama kampanyası yürütmek için kullanılıyor.
Citrix NetScaler ADC ve Ağ Geçidi cihazlarında yakın zamanda açıklanan kritik bir kusur, tehdit aktörleri tarafından bir kimlik bilgisi toplama kampanyası yürütmek için kullanılıyor.
Etkinliği geçen ay ortaya çıkaran IBM X-Force, saldırganların "kullanıcı kimlik bilgilerini ele geçirmek için kimlik doğrulama web sayfasının HTML içeriğine kötü amaçlı bir komut dosyası eklemek için yamalanmamış NetScaler Ağ Geçitlerine saldırmak için CVE-2023-3519'dan yararlandığını" söyledi.
Citrix tarafından Temmuz 2023'te ele alınan CVE-3519-9 (CVSS puanı: 8.2023), kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek kritik bir kod ekleme güvenlik açığıdır. Geçtiğimiz birkaç ay boyunca, savunmasız cihazlara sızmak ve takip eden saldırılar için kalıcı erişim elde etmek için yoğun bir şekilde istismar edildi.
IBM X-Force tarafından keşfedilen en son saldırı zincirinde operatörler, CVE-2023-3519'dan yararlanılmasını tetiklemek ve PHP tabanlı bir web kabuğunu devreye almak için özel hazırlanmış bir web isteği gönderdi.
Web kabuğu tarafından sağlanan erişim, daha sonra saldırgan tarafından kontrol edilen altyapıda barındırılan uzak bir JavaScript dosyasına başvuran NetScaler Ağ Geçidi oturum açma sayfasına özel kod eklemek için kullanılır.
JavaScript kodu, kullanıcı tarafından sağlanan kullanıcı adı ve parola bilgilerini içeren form verilerini toplamak ve kimlik doğrulamasının ardından bir HTTP POST yöntemi aracılığıyla uzak bir sunucuya iletmek için tasarlanmıştır.
Şirket, çoğunluğu ABD ve Avrupa'da bulunan "değiştirilmiş NetScaler Gateway oturum açma sayfalarını barındıran en az 600 benzersiz kurban IP adresi" belirlediğini söyledi. Saldırıların, eklemelerin birden fazla kez ortaya çıkması nedeniyle doğası gereği fırsatçı olduğu söyleniyor.
Kampanyanın ne zaman başladığı tam olarak belli değil, ancak en erken giriş sayfası değişikliği 11 Ağustos 2023'te ve bu da kampanyanın yaklaşık iki aydır devam ettiğini gösteriyor. Bilinen herhangi bir tehdit aktörüne veya grubuna atfedilmemiştir.
Açıklama, Fortinet FortiGuard Labs'ın IZ1H9 Mirai tabanlı DDoS kampanyasının, D-Link, Geutebrück, Korenix, Netis, Sunhillo SureLine, TP-Link, TOTOLINK, Yealink ve Zyxel'den IP kameralar ve yönlendiricilerdeki çeşitli kusurları hedefleyen gözden geçirilmiş bir istismar listesini kullanan güncellenmiş bir sürümünü ortaya çıkarmasıyla geldi.
Güvenlik araştırmacısı Cara Lin, "Bu, kampanyanın savunmasız cihazlara bulaşma kapasitesini vurguluyor ve çok sayıda CVE'yi kapsayan yakın zamanda yayınlanan istismar kodunun hızlı kullanımı yoluyla botnet'ini önemli ölçüde genişletiyor" dedi.
Güvenlik açıklarının başarılı bir şekilde kötüye kullanılması, IZ1H9 yükünü almak için kullanılan bir kabuk komut dosyası indiricisinin dağıtımının önünü açar ve güvenliği ihlal edilmiş Linux makinelerini büyük ölçekli kaba kuvvet ve DDoS saldırıları için uzaktan kumandalı botlara dönüştürür.
Lin, "Bu tehdide karşı koymak için, kuruluşların mümkün olduğunda yamaları derhal uygulamaları ve cihazlar için varsayılan oturum açma kimlik bilgilerini her zaman değiştirmeleri şiddetle tavsiye edilir" dedi.
Geliştirme aynı zamanda D-Link DAP-X1860 menzil genişleticiyi (CVE-2023-45208) etkileyen ve RedTeam Pentesting'e göre kesme işareti sembolünü içeren hazırlanmış bir SSID'ye sahip bir Wi-Fi ağı oluşturarak kurulum işlemi sırasında kabuk komutlarını çalıştırmak için kullanılabilecek yeni bir yamalanmamış uzaktan komut enjeksiyon kusuruyla aynı zamana denk geliyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçen ay yayınlanan bir danışma belgesinde, web sitelerine ve ilgili web hizmetlerine yönelik hacimsel DDoS saldırıları riskinin altını çizerek, kuruluşları tehdidi azaltmak için uygun önlemleri uygulamaya çağırdı.
"Bu saldırılar, hedef sistemin kaynaklarını tüketmek, hedefi ulaşılamaz veya erişilemez hale getirmek ve kullanıcıların hizmete erişimini engellemek amacıyla belirli web sitelerini hedef alıyor" dedi.
Benzer Haberler
DigiCert, Alan Adı Doğrulama Gözetimi Nedeniyle 83,000+ SSL Sertifikasını İptal Edecek
Sahibinden.com alan adını yenilemeyi mi unuttu?
Toyota Almanya, Fidye Yazılımı Saldırısında Müşteri Verilerinin Çalındığını Söyledi
Yeni Bluetooth Kusuru, Bilgisayar Korsanlarının Android, Linux, macOS ve iOS Cihazlarını Ele Geçirmesine İzin Veriyor
Microsoft, Büyük Güvenlik Sarsıntısında Yeni CISO'yu İşe Aldı
K. Koreli Bilgisayar Korsanları, Tespit Edilmekten Kaçınmak için macOS Kötü Amaçlı Yazılım Taktiklerini 'Karıştırıyor'
Biden CISO Arıyor
SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor