image

NetScaler-servers sinds juni via zerodaylek geïnfecteerd met webshells

vrijdag 21 juli 2023, 11:20 door Redactie, 7 reacties

Aanvallers hebben sinds juni misbruik gemaakt van een zerodaylek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway), zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Een organisatie in de vitale infrastructuur was het doelwit. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, die een ongeauthenticeerde aanvaller willekeurige code op de servers laat uitvoeren.

NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.

Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de NetScaler ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Volgens het CISA hebben aanvallers via het zerodaylek webshells op NetScaler-servers geïnstalleerd, waarmee het mogelijk is om toegang tot de server te behouden en verdere aanvallen uit te voeren.

In juni werd een niet nader genoemde Amerikaanse organisatie in de vitale infrastructuur via de zeroday aanvallen. De aanvallers installeerden een webshell waarmee ze informatie over de Active Directory van de aangevallen organisaties verzamelde, waarna geprobeerd werd om lateraal naar een domain controller te bewegen. Bij de waargenomen aanval mislukte dit vanwege netwerksegmentatie, aldus het CISA. De Amerikaanse overheidsinstantie heeft nu details vrijgegeven waarmee organisaties kunnen controleren of hun NetScaler-servers zijn gecompromitteerd.

Reacties (7)
21-07-2023, 12:04 door Anoniem
Ah ik krijg een citrix deja-vu van die periode met kerst. Uitzetten maar !
21-07-2023, 15:40 door Anoniem
Door Anoniem: Ah ik krijg een citrix deja-vu van die periode met kerst. Uitzetten maar !

Ja, goed idee, heeft vast geen enkele impact op de organisatie. Beter uitzetten dan patchen en defense in depth maatregelen implementeren in je netwerk. Precies wat we voor ogen hebben: de hele spullenboel stort in elkaar bij een zero-day. Goed netwerkdesign right there.
22-07-2023, 11:58 door Anoniem
Door Anoniem:
Door Anoniem: Ah ik krijg een citrix deja-vu van die periode met kerst. Uitzetten maar !

Ja, goed idee, heeft vast geen enkele impact op de organisatie. Beter uitzetten dan patchen en defense in depth maatregelen implementeren in je netwerk. Precies wat we voor ogen hebben: de hele spullenboel stort in elkaar bij een zero-day. Goed netwerkdesign right there.

Netwerkdesign is iets heel anders. Het heeft met security/applicatiedesign te maken...
Kennelijk hou je de zaken niet goed uit elkaar, meneer de zuurpruim.
Ik snap niet dat men zo sarcastisch en denigrerend moet reageren, in plaats van een inhoudelijk juiste reactie te geven en een advies te doen naar hoe het wel zou kunnen. En de juiste terminologie te gebruiken.
24-07-2023, 10:42 door Anoniem
Door Anoniem: Ah ik krijg een citrix deja-vu van die periode met kerst. Uitzetten maar !

Klinkt als een IT'er die op de stoel van management gaat zitten en zelf gaat bepalen wat acceptabel risico is en hoeveel schade het bedrijf mag lopen.
Dat besluit is nooit aan IT om te nemen.
Je advies wordt meegenomen, meer niet. We hebben namelijk een bedrijf te runnen waar tientallen miljoenen in omgaan, waar contractuele verplichtingen gelden en waar onbeschikbaarheid tonnen kosten, iets dat een IT'er niet overziet.
Ga jij die tonnen betalen?
24-07-2023, 21:44 door Anoniem
Door Anoniem:
Door Anoniem: Ah ik krijg een citrix deja-vu van die periode met kerst. Uitzetten maar !

Klinkt als een IT'er die op de stoel van management gaat zitten en zelf gaat bepalen wat acceptabel risico is en hoeveel schade het bedrijf mag lopen.
Dat besluit is nooit aan IT om te nemen.
Je advies wordt meegenomen, meer niet. We hebben namelijk een bedrijf te runnen waar tientallen miljoenen in omgaan, waar contractuele verplichtingen gelden en waar onbeschikbaarheid tonnen kosten, iets dat een IT'er niet overziet.
Ga jij die tonnen betalen?

Je snapt denk ik het sarcasme niet in de uitspraak. Enkele jaren terug was er ook een kritisch Citrix lek die RCE mogelijk maakte en toen was heel Nederland in rep en roer... paniek voerde de boventoon en bedrijven gingen allemaal hun citrix systemen uitzetten mede door de media ophef en managers die in blinde paniek maar wat deden. Die opmerking was een knipoog naar dat.

Wachten net zo lang dat je ransomware slachtoffer word en je je mag melden bij de AP met weet ik hoeveel miljoenen schade... lijkt me ook geen goed plan.

Gewoon op 18 juli patchen is uiteraard beter. Een beetje bedrijf heeft Netscalers in HA of GLBS en je kan dus zonder downtime patchen. Als dat niet kan heb je de boel gewoon niet op orde.
02-08-2023, 12:37 door Anoniem
De eerste WebShell signatures zijn nu bekend:

info.php 3a591015136412c77afe251a5ad545980afd95426ba254bad595d9ee525f881a
logout.php 293fe23849cffb460e8d28691c640a5292fd4649b0f94a019b45cc586be83fd9

De laatste staat ook op VirusTotal.
https://www.virustotal.com/gui/file/293fe23849cffb460e8d28691c640a5292fd4649b0f94a019b45cc586be83fd9/community
02-08-2023, 19:27 door Anoniem
Dat er nu al veel WebShells zijn voor CVE-2023-3519 wordt wel bewezen door het Python script op:
https://github.com/securekomodo/citrixInspector/blob/main/cve_2023_3519_inspector.py
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.