Criminelen installeren script op Citrix NetScalers om inloggegevens te stelen
Criminelen maken gebruik van een kwetsbaarheid in Citrix NetScalers om een script op de apparaten te installeren waarmee ze inloggegevens van gebruikers kunnen stelen, zo waarschuwt IBM Security X-Force, dat stelt dat honderden NetScalers getroffen zijn. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren.
Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.
Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren.
Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren. Volgens onderzoekers waren op het moment van de aanvallen 31.000 Citrix NetScalers kwetsbaar voor CVE-2023-3519. In augustus werd gemeld dat ruim 1800 NetScalers nog met een webshell besmet waren.
In september ontdekte X-Force een campagne waarbij aanvallers het beveiligingslek misbruiken om een script op de inlogpagina van kwetsbare apparaten te installeren dat de inloggegevens van gebruikers steelt. De onderzoekers van IBM wisten de command & control-server van de aanvallers te identificeren. Aan de hand daarvan werden bijna zeshonderd ip-adressen van getroffen NetScalers gevonden waarvan de inlogpagina was aangepast. Het gaat vooral om NetScalers in Europa en de Verenigde Staten. De eerste aangepaste inlogpagina's dateren van 11 augustus.
Ik zou dit dan eerder vergelijke dat je een laptop gewoon ergens op straat laat liggen in een achterbuurt, en dan verbaast bent, dat deze ineens weg is als je terug komt.
Als je als admin een 9.8 security update, op de schaal van 10 mist op een publicly internet Interface facing dienst, voor meer bijna 3 maanden dan ben je ongeschikt als beheerder.
Dit kun je dan niet meer op "victim blaming" gooien, dit is dan gewoon dom en er om vragen.
Je begrijpt dat de Citrix NetScaler juist zo'n product is? Het is een Reverse proxy, VPN, Application Proxy, load balancer.
Het is gemaakt om Internetdiensten veilig aan te bieden.
Maar geen Product is 100% veilig.
F5 loadbalancers hebben hun issues gehad, diverse leveranciers VPN servers hebben hun issue gehad.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
