image

Shadowserver: honderden Citrix-servers geïnfecteerd met webshell

donderdag 3 augustus 2023, 12:33 door Redactie, 4 reacties

Honderden Citrix-servers, waaronder een dozijn in Nederland, zijn via een kritieke kwetsbaarheid geïnfecteerd met webshells, zo stelt de Shadowserver Foundation op basis van eigen onderzoek. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt.

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, telde op 21 juli vijftienduizend kwetsbare Citrix-servers die geen patch voor CVE-2023-3519 geïnstalleerd hebben. Het ging 331 machines in Nederland. Naast het tellen van kwetsbare servers onderzocht de Shadowserver Foundation ook het aantal gecompromitteerde servers.

Het gaat om servers waarop aanvallers via CVE-2023-3519 een webshell installeerden. Dit is een programma waarmee de aanvallers toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Met name in Duitsland werden veel besmette servers aangetroffen. Van de 581 gecompromitteerde machines staan er 115 bij de oosterburen. In Nederland werden twaalf servers geteld.

Reacties (4)
03-08-2023, 12:51 door Anoniem
Zit er bij die 12 ook een overheid bij?
03-08-2023, 13:28 door Anoniem
" Shadowserver: honderden Citrix-servers geïnfecteerd met webshell"

Het is maar net hoe je een Netscaler wilt noemen, ik zie hier liever in de kop staan:


Shadowserver: honderden Citrix Netscalers geïnfecteerd met webshell
04-08-2023, 15:19 door Anoniem
De geraakte machines, Netscalers zijn meer een soort VM appliances, al werden ze vroeger ook wel als hardwareplatform geleverd. Als je als admin zo'n kwetsbare VM niet minstens van het publieke IP afhaalt en hem zo snel mogelijk patched dan vraag je er ook wel om om gehackt te worden.

Vaak hebben deze VM's - als ze al in een DMZ zitten, ook toegang tot AD via bijv LDAP of erger. Met een beetje pech kunnen ze ook bij slecht gepatchte Domain controller, en zijn de rapen helemaal gaar.
05-08-2023, 08:48 door Anoniem
Door Anoniem: Zit er bij die 12 ook een overheid bij?

Ja hoor, veel gemeenten en zelfs ministeries.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.