اخیراً، بنیاد Shadowserver که یک سازمان غیرانتفاعی متمرکز به بهبود امنیت اینترنت بوده و محققان امنیتی و دستگاههای شبکه را گسترش میدهد تا به تشخیص، پیشگیری و شناسایی تهدیدات امنیتی در سطح جهانی بپردازند، کشف کرد که هزاران سرورCitrix Netscaler ADC و Gateway ، در معرض یک آسیبپذیری حیاتی اجرای کد از راه دور (RCE) هستند. محققان امنیتی به یقین میگویند که این آسیبپذیری، با کد CVE-2023-3519، به عنوان یک حمله zero-day به کار گرفته شده است. لازم به ذکر است که Citrix برای رفع این مشکل بهروزرسانیهای امنیتی منتشر کرده است و کاربران را تشویق کرده تا به زودی پچهای لازم را نصب کنند.
نکات کلیدی:
- معرض شدن و شناسایی: بنیاد Shadowserver حدود 15000 دستگاه آسیب پذیر Citrix را بر اساس اطلاعات نسخه آنها شناسایی کرده است. با این حال، فرض میشود که این تعداد بیشتر است، زیرا بعضی از نسخههای بدون نشانه نسخه، شناسایی نشدهاند.
- اهمیت هشهای نسخه: سیتریکس اطلاعات هش نسخه را در ویرایشهای اخیر حذف کرد. بنابراین، نمونههایی که هنوز هشهای نسخه را ارائه میکنند، احتمالاً اصلاح نشده و بالقوه آسیبپذیر هستند.
- بهروزرسانیهای امنیتی: Citrix بهروزرسانیهای امنیتی را در 18 جولای منتشر کرد تا این آسیبپذیری RCE را کاهش دهد. این شرکت به صراحت اشاره کرد که اکسپلویتهایی برای CVE-2023-3519 در دستگاههای پچنشده مشاهده شده است.
- دستگاههای آسیبپذیر: دستگاههای Netscaler پچنشده باید به عنوان یک سرور دروازه (VPN، ICA Proxy، CVPN، RDP Proxy) یا یک سرور احراز هویت (سرور AAA) و در معرض حمله پیکربندی شوند.
راهکار امنیتی گام به گام:
برای اطمینان از امنیت سرورهای Citrix خود در برابر CVE-2023-3519، این موارد را اجرا کنید:
- بهروزرسانی سرورهای Citrix: بهصورت فوری به تمام دستگاههای آسیبپذیر بهروزرسانیهای امنیتی را اعمال کنید. این عمل، کاهش خطر آسیبپذیری را برای حملات اجرای کد از راه دور انجام خواهد داد.
- بررسی پیکربندی: مطمئن شوید که همه دستگاههای Netscaler پچنشده به درستی به عنوان سرورهای دروازه یا سرور احراز هویت پیکربندی شدهاند. اگر به درستی پیکربندی نشده باشند، در برابر این آسیبپذیری حملهپذیر نخواهند بود.
- مدیریت پچ منظم: یک فرآیند مدیریت پچ قوی ایجاد کنید تا اطمینان حاصل کنید که تمامی سرورهای Citrix به موقع بهروزرسانی میشوند. بهصورت منظم بر روی هشدارهای امنیتی نظارت کرده و بهزودی پچهای لازم را برای رفع هرگونه آسیبپذیری اعمال کنید.
- جداسازی شبکه: کنترلهای موثر جداسازی شبکه را برای محدود کردن حرکات جانبی در محیط خود پیادهسازی کنید. این اقدام میتواند به جلوگیری از پیشروی بیشتر مهاجمان کمک کند، حتی اگر بتوانند از یک آسیبپذیری سوء استفاده کنند.
بهیاد داشته باشید، پیشگیری و نگهداری برنامهی های شما برای حفظ زیرساخت ایمن بسیار مهم است و با اجرای این مراحل، میتوانید خطر ابتلا به آسیبپذیری CVE-2023-3519 را به شدت کاهش دهید.