image

NetScaler: kill alle actieve sessies na installeren kritieke beveiligingsupdate

maandag 20 november 2023, 17:26 door Redactie, 3 reacties

Organisaties die gebruikmaken van een NetScaler ADC of NetScaler Gateway moeten na het installeren van de recent uitgebrachte kritieke beveiligingsupdate ook alle actieve of persistente sessies door middel van een kill-commando uitschakelen. Tevens zijn er verschillende stappen die organisaties kunnen nemen om te kijken of hun NetScaler-servers zijn gecompromitteerd, zo laat NetScaler in een vandaag gepubliceerd advies weten.

NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.

Op 10 oktober kwam NetScaler met een update voor een kritieke kwetsbaarheid aangeduid als CVE-2023-4966 en 'CitrixBleed'. Via het lek kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen.

Al voor het uitkomen van de update bleek dat aanvallers misbruik van het beveiligingslek maken, maar dat was toen nog niet bij NetScaler bekend. Inmiddels vinden er grootschalige aanvallen plaats, waarbij onder andere de criminelen achter de LockBit-ransomware het op kwetsbare systemen hebben voorzien. Beveiligingsonderzoeker Kevin Beaumont liet onlangs weten op basis van een scan via zoekmachine Shodan dat veel LockBit-slachtoffers een kwetsbaar NetScaler-apparaat in hun netwerk hadden staan.

Volgens NetScaler moeten organisaties na de installatie van de update voor CVE-2023-4966 alle actieve en persistente sessies via een kill-commando uitschakelen. Daarnaast moet ernaar verdachte patronen van 'verdachte sessies' worden gezocht, alsmede verschillende logs worden gecontroleerd. Verder geeft NetScaler advies voor organisaties die hun eigen forensisch onderzoek op ongepatchte servers uitvoeren.

Reacties (3)
20-11-2023, 17:48 door Anoniem
het was lek toen het citrix heette en het is niet veel beter geworden..
een application delivery controller moet zo dichtgetimmerd zijn als een firewall ipv zo open als een reverse proxy.
20-11-2023, 20:26 door Anoniem
dus oude sessies gebruiken de lekke libraries totdat de sessie herstart wordt?
handig voor continuiteit maar niet voor security patches...
21-11-2023, 05:59 door Anoniem
Door Anoniem: dus oude sessies gebruiken de lekke libraries totdat de sessie herstart wordt?
Dat is hoe het in het algemeen werkt. De libraries zijn al in het werkgeheugen geladen, processen die ze gebruiken bevatten rechtstreekse pointers naar de adressen waar de diverse functies uit zo'n library in geheugen zitten, dat vervang je niet zomaar even on-the-fly door een andere versie.

Ik weet dat het voor kernel patches geïmplementeerd is, in ieder geval op sommige besturingssystemen, maar over het algemeen geldt dat na een update de processen die de bijgewerkte code gebruiken herstart moeten worden.

handig voor continuiteit maar niet voor security patches...
Ik heb geen verstand van Netscale, maar een korte zoekactie suggereert dat een een setup met een hoge beschikbaarheid mogelijk is met twee van de betreffende apparaten, waarbij sessies op het ene exemplaar door het andere kunnen worden overgenomen. Of dat deze situatie opvangt overzie ik niet, maar updates komen natuurlijk vaker voor dus het ligt voor de hand dat daar rekening mee is gehouden. Dan is het een kwestie van welk betrouwbaarheidsniveau een klant kiest en hoeveel die bereid is daarvoor uit te geven. Bedenk dat een garantie op de volle 100% betrouwbaarheid niet bestaat, je kan er dichterbij komen tegen hogere kosten, maar je houdt altijd een restrisico over. Dit zijn kosten/baten-afwegingen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.