Fortune 100’de yer alan şirketlerin %99’unda kullanım alanına sahip bulut ve sanallaştırma şirketi Citrix, iki önemli ürünü olan NetScaler ADC ve NetScaler Gateway’i etkileyen kritik açığı bu ayın başlarında tespit ederek 10 Ekim’de bir yama yayınladı. Ancak siber saldırganların Ağustos sonundan bu yana kimlik doğrulama oturumlarını ele geçirmek ve kurumsal bilgileri çalmak için bu açığı kötüye kullandıkları söyleniyor. Dolayısıyla firma yeni bir açıklama yayınlayarak ilgili açığın aktif olarak istismar edildiğini tespit ettiklerini ve yama güncellemesinin kritik öneme sahip olduğunu duyurdu.
Citrix’ten yapılan resmi açıklamada “Etkilenen yapıları kullanıyorsanız ve NetScaler ADC’yi bir ağ geçidi (VPN sanal sunucusu, ICA proxy, CVPN, RDP proxy) veya AAA sanal sunucusu olarak yapılandırdıysanız, bu güvenlik açığı kritik olarak tanımlandığı için önerilen güncelleme ve yamayı hemen yüklemenizi şiddetle tavsiye ederiz. Bu güvenlik açığı için herhangi bir geçici çözüm mevcut değildir,” ifadeleri yer alıyor. Citrix açıklamasında, “Şu anda oturum ele geçirme ile tutarlı olaylara ilişkin raporlarımız var ve bu güvenlik açığından yararlanan hedefli saldırılara ilişkin güvenilir raporlar aldık,” diyor.
Garip bir şekilde Citrix, Google’ın güvenlik firması Mandiant’ın geçen hafta teknoloji firmalarını, devlet kuruluşlarını ve profesyonel hizmet şirketlerini vurmak için kullanıldığını söylediği bu hedefli saldırılar hakkında herhangi bir ek ayrıntı yayınlamadı. Firma kaç kuruluşun güvenliğinin ihlal edildiği ve suçluların saldırılarda kimi ya da neyi hedeflediği konusunda yorum yapmaktan kaçınıyor.
Yine geçen hafta Mandiant Consulting CTO’su Charles Carmakal, “kuruluşların yamayı uygulamaktan daha fazlasını yapmaları gerekiyor – ayrıca tüm aktif oturumları sonlandırmalılar. Bu kimliği doğrulanmış oturumlar, CVE-2023-4966’yı hafifletmek için güncelleme dağıtıldıktan sonra da devam edecektir,” demişti. Citrix de resmi blogunda bu önleme tavsiyesini yineledi ve müşterilerine kill komutlarını kullanarak tüm aktif ve kalıcı oturumları sonlandırmalarını tavsiye etti.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) geçtiğimiz Çarşamba günü CVE-2023-4966’yı Bilinen İstismar ve Güvenlik Açıkları Kataloğuna ekledi ve hatayı “fidye yazılımı kampanyalarında kullanılan” güvenlik açığı olarak sınıflandırdı. Bu ekleme, ABD’de federal kurumların ve alt yüklenicilerinin bu açığı bir an önce düzeltmeleri gerektiği anlamına geliyor. Batılı istihbarat kurumları ve siber güvenlik firmaları son dönemde kritik altyapıya yönelik tehditlerin hızla arttığı uyarısında bulunuyorlar.
