Citrix Müşterilerini Yama Yapmaya Çağırırken, Araştırmacılar Bir Suistimali Açıkladı - Dünyadan Güncel Teknoloji Haberleri

Citrix Müşterilerini Yama Yapmaya Çağırırken, Araştırmacılar Bir Suistimali Açıkladı - Dünyadan Güncel Teknoloji Haberleri
“Risk, birisinin bu güvenlik açığından yararlanabilmesi, oturum belirteçlerini okuyabilmesi, standart kullanıcılarınızdan biri olarak cihazınıza bağlanabilmesi ve ardından bu ayrıcalıklarla ortamınıza erişebilmesidir Mandiant’ın geçen hafta işaret ettiği gibiele geçirilen oturumlar yamalar aracılığıyla bile devam edebilir, bu nedenle kuruluşların tüm aktif oturumları sonlandırmak gibi ekstra bir adım atması gerekir

Intruder’ın ürün başkan yardımcısı Andy Hornegold, “Bu, çoğu yerde uzaktan erişim çözümüdür ve sonuç olarak çoğu zaman İnternet’e açıktır” diye açıklıyor

yani Citrix, 23 Eylül’de müşterilere tavsiyelerde bulundu En kısa sürede yama yapmak herkes için aynı derecede kolay olmayacaktır Güvenlik açığına NIST tarafından 10 CVSS üzerinden “Yüksek” 7,5 puanı verildi, ancak Citrix tarafından “Kritik” 9,4 olarak derecelendirildi Araştırmacılar, neredeyse üç satır uzunluğundaki bir taleple cihazın hafıza sızıntısına neden olabileceğini keşfettiler 000 şirket tarafından kullanılıyor ”

Bu durumda şöyle açıklıyor: “Bir sürü ‘a’yı içeren bir isteği tek seferde gönderebilirim ve ardından yanıtın gövdesinde, o NetScaler cihazında oturum açan kişiler için oturum belirteçleri ortaya çıkmaya başlar, bu kullanıcılar olarak oturum açmak için bunu yeniden kullanabilirim 23 Eylül’de, vahşi doğada aktif sömürüye ilişkin raporların ardından şirket, acil güncelleme için CVE-2023-4966NetScaler uygulama dağıtım denetleyicisi (ADC) ve Gateway ürünlerinde hassas bir bilginin açığa çıkması güvenlik açığı ”



siber-1

OIDC, kimlik doğrulama ve yetkilendirme için kullanılan açık bir protokoldür

Yama Neden Yeterli Değil?

Citrix’e göreYazılımı, Fortune 500 şirketlerinin %98’i dahil olmak üzere dünya çapında 400 Ve bazı durumlarda ikincisinin kullanımı birincisine göre daha basit olabilir kavram kanıtından (PoC) yararlanma GitHub’a Mandiant, tehdit aktörlerinin Ağustos gibi erken bir tarihte CVE-2023-4966’dan yararlandığını gözlemledi ve bu durum, istismar sonrası kalıcılık ve alt erişim için sağlıklı bir zaman aralığı bıraktı 000’den fazla kuruluş tarafından kullanılmaktadır Davetsiz misafir olarak 25 Eylül tarihli bir blog yazısında belirtildiÖzellikle altyapıyı bulut yerine şirket içinde çalıştırmayı tercih eden kritik sektörlerde popülerdir

Yama uygulanmamış bir NetScaler cihazında saldırgan, 24

Ve bu bile yeterli olmayabilir “Eskiden bu tür saldırıları gerçekleştirmenin varsayılan yolu bir sürü ‘a’yı bir pakete tıkmak ve neyin geri döndüğünü görmekti ”

Sıradan işletmeler de yama yapıp bunu unutamayacaklar 812 baytı aşan bir istek göndererek arabelleği kolayca aşırı yükleyebilir “Peki eğer soru ‘Eğer bunu düzeltmezseniz olabilecek en kötü şey ne olabilir?’ —gerçekçi olmak gerekirse, en kötüsü çoktan gerçekleşmiş olabilir



En son yüksek profilli Citrix NetScaler güvenlik açığı için kritik bir güvenlik güncellemesi artık mevcut ” Kötü niyetli bir kişi, kimliği doğrulanmış bir oturumu ele geçirerek, çok faktörlü kimlik doğrulama (MFA) da dahil olmak üzere tüm kontrolleri atlayabilir

Daha sonra 24 Eylül’de Assetnote’tan araştırmacılar bir rapor yayınladılar

Hornegold, “Orada tam iki aylık bir fırsat var” diye belirtiyor Ama bir istismar da öyle Enlyft’e göreÖzellikle NetScaler, eBay ve Fujitsu gibi marka isimleri de dahil olmak üzere yaklaşık 84 7/24 kesintisiz çalışma süresine ihtiyaç duyan kuruluşlar için “Bu biraz dengeleyici bir hareket” Hornegold diyor ki: “Çünkü bu hizmeti mümkün olduğu kadar uzun süre canlı tutmanız gerekiyor, özellikle de kritik ulusal altyapıdan bahsederken Herhangi bir kesintinin risk değerlendirmesinin bir parçası olarak ele alınması gerekiyor

Hornegold, yarı şakacı bir tavırla, “Sanki 1999’da hacklenmiş gibiyim” diyor Yaygın olarak kullanılabilen bu istismar, yol açabileceği ciddi sonuçlara kıyasla son derece basittir

Citrix müşterileri için şu ana kadar yoğun bir hafta oldu ”

Yeni Citrix İstismarı

Assetnote araştırmacıları CVE-2023-4966’nın merkezinde birbiriyle ilişkili iki işlevi keşfetti: ns_aaa_oauth_send_openid_config Ve ns_aaa_oauthrp_send_openid_config — her ikisi de OpenID Connect (OIDC) Discovery uç noktasının uygulanmasından sorumludur

NetScaler sadece popüler değil