Citrix NetScaler Kullananlar Dikkat! Hackerlar Kimlik Bilgilerini Çalmak İçin Saldırıyor!

Hackerlar, kullanıcı kimlik bilgilerini çalmak için Citrix NetScaler Gateway’de bulunan CVE-2023-3519 güvenlik açığını kullanarak büyük ölçekli bir saldırılar düzenlemeye başladı.

Zafiyet, Temmuz ayında keşfedilmiş ve Citrix NetScaler ADC,NetScaler Gateway’de RCE’e neden olmaktaydı. Ağustos ayının başlarına gelindiğinde en az 640 Citrix sunucusunu zafiyetten etkilenmiş ve Ağustos ortasına gelindiğinde bu rakam 2,000’e ulaşmıştı.

IBM’in X-Force ekibinin raporlarına göre, Citrix cihazlarını güncellemeleri konusunda yapılan birçok uyarıya rağmen hala güncellenmemiş onlarca cihaz bulunmakta.

Netscaler’ın giriş sayfasını değiştirme

X-Force, Netscaler kimlik bilgilerini çalma saldırılarının Netscaler cihazlarında yavaş kimlik doğrulamaları yaşadığı bir olayı incelemeleri sırasında keşfetti.

Yaptıkları inceleme sonucunda, saldırganların CVE-2023-3519’u kullanarak bir Citrix NetScaler cihazının “index.html” giriş sayfasına kötü amaçlı JavaScript betiğini enjekte ettiğini buldular.

Saldırı, “/netscaler/ns_gui/vpn” dizinine basit bir PHP web shell yazan bir web isteği ile başlıyor. Bu web shell, saldırganlara doğrudan erişim sağlar ve “ns.conf” dosyasından yapılandırma verilerini toplamak için kullanılır. Daha sonra saldırganlar, “index.html” dosyasına uzaktaki bir JavaScript dosyasını referans alan özel HTML kodunu eklerler ve bu da ek JS kodlarını getirir ve çalıştırır.

Zafiyet oldukta ciddi olduğu için güncellemelerin hızlıca yapılması ayrıca buradaki belegerin takip edilmesi ve tavsiyelerin uygulanması büyük önem taşıyor.

Kaynak: bleepingcomputer.com