"Vijftienduizend Citrix-servers missen update voor actief aangevallen lek"
Vijftienduizend Citrix-servers missen een kritieke beveiligingsupdate voor een kwetsbaarheid die in eerste instantie als zeroday werd aangevallen, zo laat de Shadowserver Foundation weten. In Nederland gaat het nog om ruim driehonderd servers. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers sinds juni misbruik van de kwetsbaarheid om op Citrix-servers een webshell te installeren. Met dergelijke software is het mogelijk om toegang tot de server te behouden en verdere aanvallen uit te voeren.
De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, telde op 21 juli vijftienduizend kwetsbare Citrix-servers die geen patch voor CVE-2023-3519 geïnstalleerd hebben. Het gaat 331 machines in Nederland. De VS is met 6100 kwetsbare Citrix-servers koploper. Beheerders worden dan ook opgeroepen om de update zo snel mogelijk te installeren.
Vorige week kwam securitybedrijf Mandiant met een analyse van de aanvallen op kwetsbare Citrix-servers, waarbij een webshell werd geïnstalleerd. Volgens het bedrijf zijn de aanvallen vermoedelijk het werk van "cyber espionage threat actors". Tevens geeft het bedrijf informatie waarmee organisaties kunnen kijken of ze gecompromitteerd zijn.
Definitie dingetje..
Ja het zijn Citrix servers (appliances)
en nee, het zijn geen windows CVAD's servers
Ok, dat maakt het niet installeren van een patch minder erg??
Het is een klassieke truc om een kwetsbaarheid midden in de (zomer)vakantie te lanceren. Gezien het grote aantal niet-gepatchte machines heeft dat effect.
Een hele goede actie van de Shadowserver Foundation. De vraag is waarom Citrix niet zelf er in slaagt om het aantal gepatchte machines te vergroten, hebben zij geen "Citrix-alert" systeem, of is dat niet effectief?
In Nederland heeft het DIVD (Dutch Institute for Vulnerability Disclosure) een vergelijkbare rol als de Shadowserver Foundation. Het zijn concullega's. De Shadowserver Foundation tweette op 20 juli 2023 over CVE-2023-3519.
Het CSIRT van DIVD publiceerde een post op 20 juli 2023, waarin wordt aangegeven:
https://csirt.divd.nl/cases/DIVD-2023-00030/
"DIVD-2023-00030 - CITRIX SYSTEMS VULNERABLE FOR CVE-2023-3519"
(...)
"19 Jul 2023 DIVD starts notifying owners of vulnerable systems"
Helemaal goed! en hopelijk effectiever dan een enkel Tweetje, omdat beheerders individueel een bericht krijgen van het DIVD. Hopelijk wordt dat wel gelezen en krijgt het adequate aandacht in deze vakantietijd.
Mijn "douze points" gaan naar het DIVD.
De ADC is ook gewoon een server, wel vaak een appliance, maar technisch gezien is dat ook gewoon een (speciale) server.
Een hele goede actie van de Shadowserver Foundation. De vraag is waarom Citrix niet zelf er in slaagt om het aantal gepatchte machines te vergroten, hebben zij geen "Citrix-alert" systeem, of is dat niet effectief?
Citrix heeft gewoon netjes een Alert-mail gestuurd naar klanten. Ontvangen op 18 juli, gepatched op 18 juli.
Verder idd. goede actie... deze kwetsbaarheid is net zo ernstig als die VPN directory traversal enkele jaren gelden met kerst... echter word minder ophef over gemaakt dit keer.
https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/
https://www.resillion.com/escalating-privileges-in-citrix-adc/
/saml/login
/gwtest/formssso
Het is onduidelijk of nu beide aanvalspaden worden opgelost met deze CVE-2023-3519
https://www.greynoise.io/blog/will-the-real-citrix-cve-2023-3519-please-stand-up
/saml/login
/gwtest/formssso
Het is onduidelijk of nu beide aanvalspaden worden opgelost met deze CVE-2023-3519
https://www.greynoise.io/blog/will-the-real-citrix-cve-2023-3519-please-stand-up
Het lijkt er op dat de CVE-2023-3519 met aanvalspad /saml/login formeel is gefixed is en dat /gwtest/formsso/ stiekem gepatched is. Iets dergelijks wordt hier ook genoemd.
https://bishopfox.com/blog/citrix-adc-gateway-rce-cve-2023-3519
https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
