NetScaler-servers sinds juni via zerodaylek geïnfecteerd met webshells
Aanvallers hebben sinds juni misbruik gemaakt van een zerodaylek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway), zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Een organisatie in de vitale infrastructuur was het doelwit. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, die een ongeauthenticeerde aanvaller willekeurige code op de servers laat uitvoeren.
NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.
Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de NetScaler ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Volgens het CISA hebben aanvallers via het zerodaylek webshells op NetScaler-servers geïnstalleerd, waarmee het mogelijk is om toegang tot de server te behouden en verdere aanvallen uit te voeren.
In juni werd een niet nader genoemde Amerikaanse organisatie in de vitale infrastructuur via de zeroday aanvallen. De aanvallers installeerden een webshell waarmee ze informatie over de Active Directory van de aangevallen organisaties verzamelde, waarna geprobeerd werd om lateraal naar een domain controller te bewegen. Bij de waargenomen aanval mislukte dit vanwege netwerksegmentatie, aldus het CISA. De Amerikaanse overheidsinstantie heeft nu details vrijgegeven waarmee organisaties kunnen controleren of hun NetScaler-servers zijn gecompromitteerd.
Ja, goed idee, heeft vast geen enkele impact op de organisatie. Beter uitzetten dan patchen en defense in depth maatregelen implementeren in je netwerk. Precies wat we voor ogen hebben: de hele spullenboel stort in elkaar bij een zero-day. Goed netwerkdesign right there.
Ja, goed idee, heeft vast geen enkele impact op de organisatie. Beter uitzetten dan patchen en defense in depth maatregelen implementeren in je netwerk. Precies wat we voor ogen hebben: de hele spullenboel stort in elkaar bij een zero-day. Goed netwerkdesign right there.
Netwerkdesign is iets heel anders. Het heeft met security/applicatiedesign te maken...
Kennelijk hou je de zaken niet goed uit elkaar, meneer de zuurpruim.
Ik snap niet dat men zo sarcastisch en denigrerend moet reageren, in plaats van een inhoudelijk juiste reactie te geven en een advies te doen naar hoe het wel zou kunnen. En de juiste terminologie te gebruiken.
Klinkt als een IT'er die op de stoel van management gaat zitten en zelf gaat bepalen wat acceptabel risico is en hoeveel schade het bedrijf mag lopen.
Dat besluit is nooit aan IT om te nemen.
Je advies wordt meegenomen, meer niet. We hebben namelijk een bedrijf te runnen waar tientallen miljoenen in omgaan, waar contractuele verplichtingen gelden en waar onbeschikbaarheid tonnen kosten, iets dat een IT'er niet overziet.
Ga jij die tonnen betalen?
Klinkt als een IT'er die op de stoel van management gaat zitten en zelf gaat bepalen wat acceptabel risico is en hoeveel schade het bedrijf mag lopen.
Dat besluit is nooit aan IT om te nemen.
Je advies wordt meegenomen, meer niet. We hebben namelijk een bedrijf te runnen waar tientallen miljoenen in omgaan, waar contractuele verplichtingen gelden en waar onbeschikbaarheid tonnen kosten, iets dat een IT'er niet overziet.
Ga jij die tonnen betalen?
Je snapt denk ik het sarcasme niet in de uitspraak. Enkele jaren terug was er ook een kritisch Citrix lek die RCE mogelijk maakte en toen was heel Nederland in rep en roer... paniek voerde de boventoon en bedrijven gingen allemaal hun citrix systemen uitzetten mede door de media ophef en managers die in blinde paniek maar wat deden. Die opmerking was een knipoog naar dat.
Wachten net zo lang dat je ransomware slachtoffer word en je je mag melden bij de AP met weet ik hoeveel miljoenen schade... lijkt me ook geen goed plan.
Gewoon op 18 juli patchen is uiteraard beter. Een beetje bedrijf heeft Netscalers in HA of GLBS en je kan dus zonder downtime patchen. Als dat niet kan heb je de boel gewoon niet op orde.
info.php 3a591015136412c77afe251a5ad545980afd95426ba254bad595d9ee525f881a
logout.php 293fe23849cffb460e8d28691c640a5292fd4649b0f94a019b45cc586be83fd9
De laatste staat ook op VirusTotal.
https://www.virustotal.com/gui/file/293fe23849cffb460e8d28691c640a5292fd4649b0f94a019b45cc586be83fd9/community
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
