image

Aanvaller verwijdert malware van besmette Citrix-servers

vrijdag 17 januari 2020, 09:51 door Redactie, 10 reacties
Laatst bijgewerkt: 17-01-2020, 10:09

Verschillende aanvallers maken inmiddels gebruik van het beveiligingslek in Citrix om kwetsbare servers over te nemen. Onderzoekers hebben één aanvaller ontdekt die malware van al eerder overgenomen Citrix NetScaler-apparaten verwijdert en verdere aanvalspogingen op servers blokkeert.

De aanvaller laat echter ook een backdoor achter zodat hij toegang tot de machine behoudt. Dat meldt securitybedrijf FireEye in een analyse. Het securitybedrijf heeft inmiddels tientallen succesvolle aanvallen tegen Citrix-servers geanalyseerd. Aanvallers blijken het Citrix-lek onder andere te gebruiken om apparaten met een cryptominer te infecteren die de rekenkracht van de machine voor het delven van cryptovaluta gebruikt.

Eén aanvaller viel echter op omdat die dergelijke malware juist verwijdert. Daarnaast zoekt deze aanvaller naar bestanden, exploitcode en scripts van andere aanvallers en verwijdert die voordat ze kunnen worden aangeroepen. Het is echter de vraag of deze aanvaller goede bedoelingen heeft, zegt onderzoeker William Ballenthin. Er wordt namelijk ook een backdoor achtergelaten. Deze backdoor is via een passphrase te benaderen, mogelijk voor een toekomstige aanvalscampagne, aldus Ballenthin. FireEye heeft bijna honderd hardcoded keys ontdekt waarmee de aanvaller toegang tot gecompromitteerde omgevingen kan krijgen.

Reacties (10)
17-01-2020, 10:06 door Anoniem
Waar installeren ze eigenlijk die malware? Op de Netscaler of op de eigenlijke Citrix servers?
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.
17-01-2020, 10:51 door Erik van Straten
Door Anoniem: Waar installeren ze eigenlijk die malware? Op de Netscaler of op de eigenlijke Citrix servers?

In https://www.bleepingcomputer.com/news/security/dutch-govt-suggests-turning-off-citrix-adc-devices-mitigations-may-fail/ zag ik enkele handige overzichten (waarvan ik niet weet of alle gegevens kloppen). Raadpleeg Citrix zelf voor zo nauwkeurig mogelijke informatie.
17-01-2020, 11:27 door Tintin and Milou
Door Anoniem: Waar installeren ze eigenlijk die malware? Op de Netscaler of op de eigenlijke Citrix servers?
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.
Standaard zal dit alleen op de netscaler zijn. Echter is natuurlijk mogelijk om vanaf dit device verder het netwerk te verkennen en/of aan te vallen.
17-01-2020, 11:57 door Anoniem
Misschien kan je gebruikmaken van dit testtooltje:

https://www.bleepingcomputer.com/news/security/cisa-releases-test-tool-for-citrix-adc-cve-2019-19781-vulnerability/
https://github.com/cisagov/check-cve-2019-19781
17-01-2020, 12:10 door Anoniem
Door Anoniem: Waar installeren ze eigenlijk die malware? Op de Netscaler of op de eigenlijke Citrix servers?
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.

https://www.security.nl/posting/639590/Citrix+waarschuwt+dat+workaround+voor+ernstig+lek+niet+altijd+werkt
Anoniem 10:25
".. de bug zit o.a. in de configuratie van Apache die Netscaler gebruikt voor afhandelen van requests .."
17-01-2020, 15:37 door Anoniem
Wat een droevig onduidelijk artikel. Geen enkele bewijs dat dit niet gewoon uit de duim is gezogen.
17-01-2020, 16:39 door Anoniem
Door Anoniem: Wat een droevig onduidelijk artikel. Geen enkele bewijs dat dit niet gewoon uit de duim is gezogen.
dus jij denkt dat FireEye dit https://www.fireeye.com/blog/threat-research/2020/01/vigilante-deploying-mitigation-for-citrix-netscaler-vulnerability-while-maintaining-backdoor.html uit hun duim zuigt?
17-01-2020, 21:27 door Anoniem
Eigenlijk wel een gaaf idee, als we in de wereld een soort van 'we will own you, clean you and than warn you' no-cure-no-pay dienst zouden hebben die het internet gewoon opschoont.

Soort van XS4ALL die je in Quarantaine gooit als je spam-mig doet, maar dan andersom qua detectie.
Soort van Shodan, maar dan meteen doorpakken en opruimen.
Soort van Anti-virus, maar dan achteraf als het eigenlijk te laat is maar je dat nog steeds niet door hebt.

Ik zou een m'n IPs doorgeven en netjes afrekenen als ze het voor elkaar krijgen.
18-01-2020, 22:09 door Anoniem
Door Anoniem: Eigenlijk wel een gaaf idee, als we in de wereld een soort van 'we will own you, clean you and than warn you' no-cure-no-pay dienst zouden hebben die het internet gewoon opschoont.

Soort van XS4ALL die je in Quarantaine gooit als je spam-mig doet, maar dan andersom qua detectie.
Soort van Shodan, maar dan meteen doorpakken en opruimen.
Soort van Anti-virus, maar dan achteraf als het eigenlijk te laat is maar je dat nog steeds niet door hebt.

Ik zou een m'n IPs doorgeven en netjes afrekenen als ze het voor elkaar krijgen.

Is dit niet gewoon wat pentesters doen...
19-01-2020, 22:46 door Anoniem
Het is niet alleen wat gekwalificeerde pentesters plegen te doen.

Het is ook wat de ene cybercrimineel met de andere op een webstek probeert te doen of voorheeft te doen.
Iedere cybercrimineel/malcreant wil ergens het alleenvertoningsrecht, toch?

Het komt ook voor dat een aanvaller eerst een brakke hackable site "hardent".
Dit om de malware later "beter beschermd" daar te kunnen laten draaien.

Maar men wil dan liever dat "the good" dat doen, eerder dan "the bad and the ugly".
Maar sommigen op een CMS met user enumeration aan en directory listing op "enabled" vragen hier a.h.w. om.
Targetscannetje, exploitje, pats - geheel geautomatiseerd

Wie gaat al die brakke amateur en non-security websites eens benaderen.
Ze vormen een enorm risico voor de infra-structuur.

Maar dat is naar de wereld der kwetsbaren gerekend maar relatief.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.