Haberler

Citrix NetScaler Zafiyetlerini Kullanılarak Büyük Ölçekli Fidye Yazılımı Saldırıları Yapıyorlar

Sophos tarafından yapılan bir inceleme, FIN8 grubu tarafından CVE-2023-3519 uzaktan kod yürütme açığından yararlanarak Citrix NetScaler sistemlerini hedaf alıyor. Bu saldırıları Ağustos’tan bu yana izleyen Sophos, saldırganların payload deploy ettiğini, PowerShell komut dosyalarını dağıttığını ve kurban makinelerine PHP web shell açtıklarını belirtti.

Citrix Zafiyetleri

CVE-2023-3519, Temmuz 2023 ortalarından bu zamana kadar aktif olarak kullanıldı. Zafiyet Citrix NetScaler ADC ve NetScaler Gateway’de bulunuyor. (CVSS puanı: 9.8).

Üretici, sorunu 18 Temmuz’da çözmek için güvenlik güncellemelerini yayınladı, ancak siber saldırganların en azından 6 Temmuz 2023’ten bu yana açığın bir saldırı için kullanıldığını gösteren kanıtlar bulunmakta.

2 Ağustos’ta Shadowserver, aynı sayıda kompromize edilmiş Citrix sunucusunda 640 web shell keşfettiğini bildirdi ve iki hafta sonra Fox-IT bu sayıyı 1,952’ye çıkardı.

Ağustos ortasına gelindiğinde, güvenlik güncellemesi kullanılabilir hale gelmesinden bir aydan fazla bir süre olmasına rağmen hala 31,000’den fazla Citrix NetScaler CVE-2023-3519’a karşı savunmasızdı ve saldırganlar tarafından yüksek oranda ististmar edildi.

Sophos X-Ops, ‘STAC4663’ olarak izlediği bir saldırgannın CVE-2023-3519’u sömürdüğünü bildirdi ve araştırmacılar bu saldırının Fox-IT’in bu ayın başlarında rapor ettiği zafiyet ile ilişkili olduğunu açıkladı.

Son saldırılarda deploy edilen payload “wuauclt.exe” veya “wmiprvse.exe” içine enjekte edilmektedir ve hala analiz edilmektedir, ancak Sophos, saldırganın profiline dayanarak bu payloadların bir fidye yazılımı saldırısı zincirinin bir parçası olduğuna düşüdüklerini belirtti.

Son olarak, saldırganlar yaptıkları sadırılarda C2 IP adresi (45.66.248[.]189) ve önceki saldırıda aynı C2 yazılımına yanıt veren ikinci bir C2 IP adresi (85.239.53[.]49) kullanmakta olduğu belirlendi.

Eğer Citrix ADC ve Gateway cihazlarına güvenlik güncellemelerini uygulamadıysanız, üreticinin güvenlik bülteninde önerilen işlemleri takip etmeniz çok önemli.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu