NetScaler: kill alle actieve sessies na installeren kritieke beveiligingsupdate
Organisaties die gebruikmaken van een NetScaler ADC of NetScaler Gateway moeten na het installeren van de recent uitgebrachte kritieke beveiligingsupdate ook alle actieve of persistente sessies door middel van een kill-commando uitschakelen. Tevens zijn er verschillende stappen die organisaties kunnen nemen om te kijken of hun NetScaler-servers zijn gecompromitteerd, zo laat NetScaler in een vandaag gepubliceerd advies weten.
NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.
Op 10 oktober kwam NetScaler met een update voor een kritieke kwetsbaarheid aangeduid als CVE-2023-4966 en 'CitrixBleed'. Via het lek kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen.
Al voor het uitkomen van de update bleek dat aanvallers misbruik van het beveiligingslek maken, maar dat was toen nog niet bij NetScaler bekend. Inmiddels vinden er grootschalige aanvallen plaats, waarbij onder andere de criminelen achter de LockBit-ransomware het op kwetsbare systemen hebben voorzien. Beveiligingsonderzoeker Kevin Beaumont liet onlangs weten op basis van een scan via zoekmachine Shodan dat veel LockBit-slachtoffers een kwetsbaar NetScaler-apparaat in hun netwerk hadden staan.
Volgens NetScaler moeten organisaties na de installatie van de update voor CVE-2023-4966 alle actieve en persistente sessies via een kill-commando uitschakelen. Daarnaast moet ernaar verdachte patronen van 'verdachte sessies' worden gezocht, alsmede verschillende logs worden gecontroleerd. Verder geeft NetScaler advies voor organisaties die hun eigen forensisch onderzoek op ongepatchte servers uitvoeren.
een application delivery controller moet zo dichtgetimmerd zijn als een firewall ipv zo open als een reverse proxy.
handig voor continuiteit maar niet voor security patches...
Ik weet dat het voor kernel patches geïmplementeerd is, in ieder geval op sommige besturingssystemen, maar over het algemeen geldt dat na een update de processen die de bijgewerkte code gebruiken herstart moeten worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
