bencede
New member
Bu haftanın Çarşamba gününden itibaren Citrix, eski adı Citrix ADC ve Gateway olan Netscaler ADC ve Gateway’deki sıfır gün güvenlik açıklarını gideren güncellemeler yayınladı. Güvenlik açığı, yamalar kullanıma sunulmadan önce zaten kullanılmıştı. Bu nedenle BT yöneticileri, sistemlerinin saldırıya uğrayıp uğramadığını kontrol etmelidir. ABD bilgi güvenliği otoritesi CISA, devam eden saldırılar ve olası karşı önlemler hakkında da açıklamalarda bulundu.
Duyuru
2019’da siber suçlular, bir izinsiz girişten hemen sonra bir arka kapı kurmak için Shitrix olarak bilinen güvenlik açığını kullandı. Bu, yamaları yükledikten sonra da etkindi ve bir sonraki oturum açmayı etkinleştirdi. Failler, örneğin Düsseldorf üniversite hastanesine düzenlenen bir saldırının ardından siber şantajda böyle davrandılar.
Citrix Güvenlik Açığı: Son Derece Tehlikeli
Güvenlik Açığı CVE-2023-3519, İnternet üzerinden erişilebilen bir hizmette sözde kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığıdır. Bu, en yüksek risk kategorisidir, çünkü saldırganlar uygun bir istismara sahiptir ve savunmasız birçok sisteme çok kısa sürede saldırabilir ve ele geçirebilir.
Artık deyda.net’te, Citrix sistemlerinizde hırsızlık belirtileri olup olmadığını kontrol edebileceğiniz bir kılavuz yayınlandı. Sonuç olarak, saldırılar yalnızca değiştirilmiş dosya zaman damgaları aracılığıyla tespit edilebilir. Zaman damgaları gerçekten yalnızca Netscaler güncellemeleriyle değişir, bu nedenle yöneticilerin son güncellemenin zamanını bilmesi gerekir. Bu, paketlenmemiş kurulum paketlerinin tarihinden görülebilir.
ns-root veya diğer yönetici oturum açma bilgileriyle oturum açtıktan sonra, komut shell ls -ll /var/nsinstall – örneğin komut satırında SSH aracılığıyla çalıştırılır – sıkıştırılmış kurulum dosyaları ve bunların tarihi. Buna dayanarak, değiştirilen dosyaları tarihe bir gün ekleyerek takip edebilirsiniz: 19.07.2023 tarihinden itibaren 20230720 ” olarak adlandırılır.” manuel olarak değiştirilmesi gereken daha fazla arama komutu için:
shell
find /netscaler/ns_gui/ -type f -name *.php -newermt <Timestamp> -exec ls -l {} ;
find /var/vpn/ -type f -newermt <Timestamp> -exec ls -l {} ;
find /var/netscaler/logon/ -type f -newermt <Timestamp> -exec ls -l {} ;
find /var/python/ -type f -newermt <Timestamp> -exec ls -l {} ;
Duyuru
Bu, arka kapı kodu veya ona referanslar içerebilecek değiştirilmiş dosyaları algılar. Bu bir kanıt değil, bir hırsızlığın göstergesidir. Talimatlar ayrıca diğer dillerde alternatif yöntemler sağlar. HTTP hata günlük dosyalarında veya kabuk günlük dosyalarında da ipuçları vardır.
Talimatlar ayrıca, BT yöneticilerinin mümkün olan en kısa sürede kontrol etmesi gereken bir dizi başka izinsiz giriş göstergesi (uzlaşma göstergeleri, IOC’ler) sağlar. Yazarlar ayrıca, bir uzlaşma şüphesi doğrulanırsa yöneticilerin nasıl ilerlemesi gerektiği konusunda önerilerde bulunur.
CISA sıfır gün saldırılarını açıklıyor
ABD siber güvenlik otoritesi CISA şimdi Citrix saldırılarına ilişkin güvenlik raporunu sundu. Buna göre, siber suçlular bu yıl Haziran ayında bir KRITIS kuruluşundaki savunmasız bir Netscaler ADC cihazında bir web kabuğu kurmak için bu güvenlik açığından zaten sıfır gün güvenlik açığı olarak yararlandı. Saldırganlar, web kabuğunu kullanarak kurbanların Active Directory’sini (AD) inceleyebildi ve ondan veri toplayıp çıkarabildi. Sonunda, kötü niyetli aktörler “ağ boyunca yanal olarak gitmek” ve bir etki alanı denetleyicisine girmek istediler, ancak bu, ağın bölümlenmesini engelledi. Etkilenen kuruluş, ihlali keşfettikten sonra olayı CISA ve Citrix’e bildirdi. Citrix daha sonra 18 Temmuz 2023’te bu güvenlik açığı için bir yama yayınladı.
CISA uyarısı, saldırganların nasıl ilerlediğini ve hangi dosyaları kaçırdıklarını ayrıntılarıyla açıklıyor. Citrix/Netscaler ADC’leri ve ağ geçitleri olan BT yöneticileri notları okumalı ve listelenen (IoC) izleri için sistemlerini kontrol etmelidir.
güncellemeler
07/21/2023
07:24
Saat
ABD bilgi güvenliği otoritesi CISA, saldırının analizini ve uzlaşma belirtilerini içeren bir güvenlik raporu yayınladı. Mesaja ekledik.
(dmk)
Haberin Sonu
Duyuru
2019’da siber suçlular, bir izinsiz girişten hemen sonra bir arka kapı kurmak için Shitrix olarak bilinen güvenlik açığını kullandı. Bu, yamaları yükledikten sonra da etkindi ve bir sonraki oturum açmayı etkinleştirdi. Failler, örneğin Düsseldorf üniversite hastanesine düzenlenen bir saldırının ardından siber şantajda böyle davrandılar.
Citrix Güvenlik Açığı: Son Derece Tehlikeli
Güvenlik Açığı CVE-2023-3519, İnternet üzerinden erişilebilen bir hizmette sözde kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığıdır. Bu, en yüksek risk kategorisidir, çünkü saldırganlar uygun bir istismara sahiptir ve savunmasız birçok sisteme çok kısa sürede saldırabilir ve ele geçirebilir.
Artık deyda.net’te, Citrix sistemlerinizde hırsızlık belirtileri olup olmadığını kontrol edebileceğiniz bir kılavuz yayınlandı. Sonuç olarak, saldırılar yalnızca değiştirilmiş dosya zaman damgaları aracılığıyla tespit edilebilir. Zaman damgaları gerçekten yalnızca Netscaler güncellemeleriyle değişir, bu nedenle yöneticilerin son güncellemenin zamanını bilmesi gerekir. Bu, paketlenmemiş kurulum paketlerinin tarihinden görülebilir.
ns-root veya diğer yönetici oturum açma bilgileriyle oturum açtıktan sonra, komut shell ls -ll /var/nsinstall – örneğin komut satırında SSH aracılığıyla çalıştırılır – sıkıştırılmış kurulum dosyaları ve bunların tarihi. Buna dayanarak, değiştirilen dosyaları tarihe bir gün ekleyerek takip edebilirsiniz: 19.07.2023 tarihinden itibaren 20230720 ” olarak adlandırılır.” manuel olarak değiştirilmesi gereken daha fazla arama komutu için:
shell
find /netscaler/ns_gui/ -type f -name *.php -newermt <Timestamp> -exec ls -l {} ;
find /var/vpn/ -type f -newermt <Timestamp> -exec ls -l {} ;
find /var/netscaler/logon/ -type f -newermt <Timestamp> -exec ls -l {} ;
find /var/python/ -type f -newermt <Timestamp> -exec ls -l {} ;
Duyuru
Bu, arka kapı kodu veya ona referanslar içerebilecek değiştirilmiş dosyaları algılar. Bu bir kanıt değil, bir hırsızlığın göstergesidir. Talimatlar ayrıca diğer dillerde alternatif yöntemler sağlar. HTTP hata günlük dosyalarında veya kabuk günlük dosyalarında da ipuçları vardır.
Talimatlar ayrıca, BT yöneticilerinin mümkün olan en kısa sürede kontrol etmesi gereken bir dizi başka izinsiz giriş göstergesi (uzlaşma göstergeleri, IOC’ler) sağlar. Yazarlar ayrıca, bir uzlaşma şüphesi doğrulanırsa yöneticilerin nasıl ilerlemesi gerektiği konusunda önerilerde bulunur.
CISA sıfır gün saldırılarını açıklıyor
ABD siber güvenlik otoritesi CISA şimdi Citrix saldırılarına ilişkin güvenlik raporunu sundu. Buna göre, siber suçlular bu yıl Haziran ayında bir KRITIS kuruluşundaki savunmasız bir Netscaler ADC cihazında bir web kabuğu kurmak için bu güvenlik açığından zaten sıfır gün güvenlik açığı olarak yararlandı. Saldırganlar, web kabuğunu kullanarak kurbanların Active Directory’sini (AD) inceleyebildi ve ondan veri toplayıp çıkarabildi. Sonunda, kötü niyetli aktörler “ağ boyunca yanal olarak gitmek” ve bir etki alanı denetleyicisine girmek istediler, ancak bu, ağın bölümlenmesini engelledi. Etkilenen kuruluş, ihlali keşfettikten sonra olayı CISA ve Citrix’e bildirdi. Citrix daha sonra 18 Temmuz 2023’te bu güvenlik açığı için bir yama yayınladı.
CISA uyarısı, saldırganların nasıl ilerlediğini ve hangi dosyaları kaçırdıklarını ayrıntılarıyla açıklıyor. Citrix/Netscaler ADC’leri ve ağ geçitleri olan BT yöneticileri notları okumalı ve listelenen (IoC) izleri için sistemlerini kontrol etmelidir.
güncellemeler
07/21/2023
07:24
Saat
ABD bilgi güvenliği otoritesi CISA, saldırının analizini ve uzlaşma belirtilerini içeren bir güvenlik raporu yayınladı. Mesaja ekledik.
(dmk)
Haberin Sonu