Citrix tarafından Salı günü, uzaktan kod yürütülmesine izin veren ve aktif olarak kullanılan sıfırıncı gün açığı da dahil olmak üzere toplamda üç güvenlik açığı için yama duyurdu.
Bunlar arasından en kritik öneme sahip ve CVE-2023-3519 olarak izlenen güvenlik açığı Citrix’in güvenli uygulama teslimi ve uzaktan erişim çözümleri için yaygın olarak kullanılan ADC ve Gateway ürünlerini etkiliyor. Bu güvenlik açığı, kimlik doğrulama olmadan uzaktan kod yürütülmesine imkan veriyor. Ancak, yalnızca ağ geçidi veya AAA sanal sunucusu olarak yapılandırılmış cihazlara karşı kullanılabiliyor. Fakat bu güvenlik açığının kullanımına ilişkin şu ana kadar herhangi PoC yayınlanmadı.
Şirket tarafından yayınlanan güvenlik bülteninde, müşterilerin acil olarak bu yamalarını yüklemelerini çünkü CVE-2023-3519’u hedefleyen saldırıların farkında olduklarını belirtiyor. Siber güvenlik şirketi Rapid7 analistleri, etkilenen ürünlerin popülaritesi göz önüne alındığında istismarın hızla artmasının beklendiği konusunda kurum ve kuruluşları uyardı.
Gerçekleştirilen saldırılar ve arkasındaki tehdit aktörleriyle ilgili herhangi bir ayrıntı verilmedi ancak Mandiant tarafından gerçekleştirilen analizler kapsamında China-nexus aktörlerine atıf yapıldı. China-nexus aktörlerinin 2022’de Citrix ADC’lere karşı bilinen yeteneklere ve eylemlere dayalı önceki operasyonlarıyla tutarlı olduğu belirtildi.
İki önemli güvenlik güncelleştirmesi de yer aldı
CVE-2023-3519 olarak izlenen sıfırıncı gün açığı dışında CVE-2023-3466 ve CVE-2023-3467 açıklıkları içinde güncelleştirme yayınlandı. Bunlar biri olan CVE-2023-3466, Reflected Cross-Site Scripting (XSS) açığı olarak geçiyor. Saldırganlar tarafından hedeflenen bir kullanıcıya karşı kötü amaçlarla oluşturulmuş bir bağlantı gönderilir ve kullanıcı tıkladığı takdirde de istismar edilebiliyor.
CVE-2023-3467 adlandırılan zafiyet ise kimliği doğrulanmış bir saldırganın ayrıcalığını kök yönetici düzeyine yükseltilmesine neden olabiliyor.
Diğer detaylar ve yapılan güncelleştirmeleri sıralamak gerekirse eğer:
– Floarian Ruth adlı araştırmacı tarafından twitter hesabında CVE-2023-3519 güvenlik açığıyla ilgili olarak iki IP adresi içeren VirusTotal’deki bir dosyanın bağlantısı paylaşıldı.
– ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Citrix güvenlik açıkları için uyarı yayınlayarak kuruluşları uyardı.
– GreyNoise tarafından CVE-2023-3519 izlenebilmesi için yeni bir etiket oluşturuldu. Ancak şu ana kadar henüz bir şeye rastlanılmadı.
– Şu ana kadar CVE-2023-3519’ın nasıl istismar edildiği ile ilgili resmi bir teknik analiz yayınlanmazken, bu konuda ilk olarak Deyda.net tarafından araştırma yayınlandı
