Citrix Müşterilerini Yama Yapmaya Çağırırken, Araştırmacılar Bir Suistimali Açıkladı - Dünyadan Güncel Teknoloji Haberleri

Citrix Müşterilerini Yama Yapmaya Çağırırken, Araştırmacılar Bir Suistimali Açıkladı - Dünyadan Güncel Teknoloji Haberleri



En son yüksek profilli Citrix NetScaler güvenlik açığı için kritik bir güvenlik güncellemesi artık mevcut ” Kötü niyetli bir kişi, kimliği doğrulanmış bir oturumu ele geçirerek, çok faktörlü kimlik doğrulama (MFA) da dahil olmak üzere tüm kontrolleri atlayabilir “Peki eğer soru ‘Eğer bunu düzeltmezseniz olabilecek en kötü şey ne olabilir?’ —gerçekçi olmak gerekirse, en kötüsü çoktan gerçekleşmiş olabilir

Citrix müşterileri için şu ana kadar yoğun bir hafta oldu kavram kanıtından (PoC) yararlanma GitHub’a 23 Eylül’de, vahşi doğada aktif sömürüye ilişkin raporların ardından şirket, acil güncelleme için CVE-2023-4966NetScaler uygulama dağıtım denetleyicisi (ADC) ve Gateway ürünlerinde hassas bir bilginin açığa çıkması güvenlik açığı Mandiant, tehdit aktörlerinin Ağustos gibi erken bir tarihte CVE-2023-4966’dan yararlandığını gözlemledi ve bu durum, istismar sonrası kalıcılık ve alt erişim için sağlıklı bir zaman aralığı bıraktı Herhangi bir kesintinin risk değerlendirmesinin bir parçası olarak ele alınması gerekiyor Davetsiz misafir olarak 25 Eylül tarihli bir blog yazısında belirtildiÖzellikle altyapıyı bulut yerine şirket içinde çalıştırmayı tercih eden kritik sektörlerde popülerdir ”

Bu durumda şöyle açıklıyor: “Bir sürü ‘a’yı içeren bir isteği tek seferde gönderebilirim ve ardından yanıtın gövdesinde, o NetScaler cihazında oturum açan kişiler için oturum belirteçleri ortaya çıkmaya başlar, bu kullanıcılar olarak oturum açmak için bunu yeniden kullanabilirim 7/24 kesintisiz çalışma süresine ihtiyaç duyan kuruluşlar için “Bu biraz dengeleyici bir hareket” Hornegold diyor ki: “Çünkü bu hizmeti mümkün olduğu kadar uzun süre canlı tutmanız gerekiyor, özellikle de kritik ulusal altyapıdan bahsederken

Yama uygulanmamış bir NetScaler cihazında saldırgan, 24

Yama Neden Yeterli Değil?

Citrix’e göreYazılımı, Fortune 500 şirketlerinin %98’i dahil olmak üzere dünya çapında 400 Enlyft’e göreÖzellikle NetScaler, eBay ve Fujitsu gibi marka isimleri de dahil olmak üzere yaklaşık 84

yani Citrix, 23 Eylül’de müşterilere tavsiyelerde bulundu En kısa sürede yama yapmak herkes için aynı derecede kolay olmayacaktır Ve bazı durumlarda ikincisinin kullanımı birincisine göre daha basit olabilir 812 baytı aşan bir istek göndererek arabelleği kolayca aşırı yükleyebilir Güvenlik açığına NIST tarafından 10 CVSS üzerinden “Yüksek” 7,5 puanı verildi, ancak Citrix tarafından “Kritik” 9,4 olarak derecelendirildi

Hornegold, “Orada tam iki aylık bir fırsat var” diye belirtiyor ”

Yeni Citrix İstismarı

Assetnote araştırmacıları CVE-2023-4966’nın merkezinde birbiriyle ilişkili iki işlevi keşfetti: ns_aaa_oauth_send_openid_config Ve ns_aaa_oauthrp_send_openid_config — her ikisi de OpenID Connect (OIDC) Discovery uç noktasının uygulanmasından sorumludur 000’den fazla kuruluş tarafından kullanılmaktadır ”



siber-1

Ama bir istismar da öyle

Intruder’ın ürün başkan yardımcısı Andy Hornegold, “Bu, çoğu yerde uzaktan erişim çözümüdür ve sonuç olarak çoğu zaman İnternet’e açıktır” diye açıklıyor ”

Sıradan işletmeler de yama yapıp bunu unutamayacaklar “Risk, birisinin bu güvenlik açığından yararlanabilmesi, oturum belirteçlerini okuyabilmesi, standart kullanıcılarınızdan biri olarak cihazınıza bağlanabilmesi ve ardından bu ayrıcalıklarla ortamınıza erişebilmesidir Araştırmacılar, neredeyse üç satır uzunluğundaki bir taleple cihazın hafıza sızıntısına neden olabileceğini keşfettiler

Ve bu bile yeterli olmayabilir “Eskiden bu tür saldırıları gerçekleştirmenin varsayılan yolu bir sürü ‘a’yı bir pakete tıkmak ve neyin geri döndüğünü görmekti

Daha sonra 24 Eylül’de Assetnote’tan araştırmacılar bir rapor yayınladılar 000 şirket tarafından kullanılıyor

NetScaler sadece popüler değil Mandiant’ın geçen hafta işaret ettiği gibiele geçirilen oturumlar yamalar aracılığıyla bile devam edebilir, bu nedenle kuruluşların tüm aktif oturumları sonlandırmak gibi ekstra bir adım atması gerekir Yaygın olarak kullanılabilen bu istismar, yol açabileceği ciddi sonuçlara kıyasla son derece basittir OIDC, kimlik doğrulama ve yetkilendirme için kullanılan açık bir protokoldür

Hornegold, yarı şakacı bir tavırla, “Sanki 1999’da hacklenmiş gibiyim” diyor