Binlerce Citrix Sunucusu Tehdit Altında
Citrix ADC ve Gateway ürünlerinde ortaya çıkan zafiyetler istismar edilmeye devam ediyor. İlk zafiyet 8 Kasım’da kapatıldı (CVE-2022-27510) . Bu zafiyet, her iki Citrix ürününde de kimlik doğrulama bypass güvenlik açığına izin veriyor. Saldırgan, cihaza yetkisiz erişim elde etmek bu zafiyeti kullanıyor. CVE-2022-27518 olarak izlenen ikinci zafiyet 13 Aralık’ta açıklandı ve güncelleme yayınlanarak kapatıldı. Saldırganların patch yüklenmemiş cihazlarda uzaktan komut yürütmesine ve kontrollerini ele geçirmesine izin veriyor.
Binlerce zafiyet içeren cihaz bulundu
Fox BT analistleri 11 Kasım 2022’de web’i taradı ve çevrimiçi olarak toplam 28.000 Citrix sunucusu buldu. Bulunanlardan kaç tanesinin iki zafiyete karşı savunmasız olduğunu belirlemek için sunuculardan gelen HTTP yanıtında yer almayan sürüm numaralarını öğrenmeleri gerekiyordu.
Yine de yanıtlar, Citrix ADC ve Gateway ürün sürümleriyle eşleştirmek için kullanılabilecek MD5 hash benzeri parametreler taşıyordu. Araştırmacılar, Citrix, Google Cloud Marketplace, AWS ve Azure’dan temin edebildikleri tüm Citrix ADC sürümlerini VM’lere indirip dağıttı ve hash sürümlerle eşleştirdi.
8 Aralık 2022 itibarıyla çoğunluğun iki güvenlik açığından etkilenmeyen 13.0-88.14 sürümü olduğu görülmektedir.
İkinci sürüm 12.1-65.21 belirli koşullar karşılanırsa CVE-2022-27518’e karşı savunmasız ve 3.500 cihazda çalışır durumda. Ayrıca, CVE-2022-27510’dan etkilenen 1.000’den fazla sunucu ve her iki kritik hataya karşı potansiyel olarak savunmasız yaklaşık 3.000 cihaz bulunmakta.