Aanvaller verwijdert malware van besmette Citrix-servers
Verschillende aanvallers maken inmiddels gebruik van het beveiligingslek in Citrix om kwetsbare servers over te nemen. Onderzoekers hebben één aanvaller ontdekt die malware van al eerder overgenomen Citrix NetScaler-apparaten verwijdert en verdere aanvalspogingen op servers blokkeert.
De aanvaller laat echter ook een backdoor achter zodat hij toegang tot de machine behoudt. Dat meldt securitybedrijf FireEye in een analyse. Het securitybedrijf heeft inmiddels tientallen succesvolle aanvallen tegen Citrix-servers geanalyseerd. Aanvallers blijken het Citrix-lek onder andere te gebruiken om apparaten met een cryptominer te infecteren die de rekenkracht van de machine voor het delven van cryptovaluta gebruikt.
Eén aanvaller viel echter op omdat die dergelijke malware juist verwijdert. Daarnaast zoekt deze aanvaller naar bestanden, exploitcode en scripts van andere aanvallers en verwijdert die voordat ze kunnen worden aangeroepen. Het is echter de vraag of deze aanvaller goede bedoelingen heeft, zegt onderzoeker William Ballenthin. Er wordt namelijk ook een backdoor achtergelaten. Deze backdoor is via een passphrase te benaderen, mogelijk voor een toekomstige aanvalscampagne, aldus Ballenthin. FireEye heeft bijna honderd hardcoded keys ontdekt waarmee de aanvaller toegang tot gecompromitteerde omgevingen kan krijgen.
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.
In https://www.bleepingcomputer.com/news/security/dutch-govt-suggests-turning-off-citrix-adc-devices-mitigations-may-fail/ zag ik enkele handige overzichten (waarvan ik niet weet of alle gegevens kloppen). Raadpleeg Citrix zelf voor zo nauwkeurig mogelijke informatie.
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.
https://www.bleepingcomputer.com/news/security/cisa-releases-test-tool-for-citrix-adc-cve-2019-19781-vulnerability/
https://github.com/cisagov/check-cve-2019-19781
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.
https://www.security.nl/posting/639590/Citrix+waarschuwt+dat+workaround+voor+ernstig+lek+niet+altijd+werkt
Anoniem 10:25
".. de bug zit o.a. in de configuratie van Apache die Netscaler gebruikt voor afhandelen van requests .."
Soort van XS4ALL die je in Quarantaine gooit als je spam-mig doet, maar dan andersom qua detectie.
Soort van Shodan, maar dan meteen doorpakken en opruimen.
Soort van Anti-virus, maar dan achteraf als het eigenlijk te laat is maar je dat nog steeds niet door hebt.
Ik zou een m'n IPs doorgeven en netjes afrekenen als ze het voor elkaar krijgen.
Soort van XS4ALL die je in Quarantaine gooit als je spam-mig doet, maar dan andersom qua detectie.
Soort van Shodan, maar dan meteen doorpakken en opruimen.
Soort van Anti-virus, maar dan achteraf als het eigenlijk te laat is maar je dat nog steeds niet door hebt.
Ik zou een m'n IPs doorgeven en netjes afrekenen als ze het voor elkaar krijgen.
Is dit niet gewoon wat pentesters doen...
Het is ook wat de ene cybercrimineel met de andere op een webstek probeert te doen of voorheeft te doen.
Iedere cybercrimineel/malcreant wil ergens het alleenvertoningsrecht, toch?
Het komt ook voor dat een aanvaller eerst een brakke hackable site "hardent".
Dit om de malware later "beter beschermd" daar te kunnen laten draaien.
Maar men wil dan liever dat "the good" dat doen, eerder dan "the bad and the ugly".
Maar sommigen op een CMS met user enumeration aan en directory listing op "enabled" vragen hier a.h.w. om.
Targetscannetje, exploitje, pats - geheel geautomatiseerd
Wie gaat al die brakke amateur en non-security websites eens benaderen.
Ze vormen een enorm risico voor de infra-structuur.
Maar dat is naar de wereld der kwetsbaren gerekend maar relatief.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
