De recente ransomware-aanval waar vliegtuigfabrikant Boeing mee te maken kreeg vond plaats via een kritieke kwetsbaarheid in NetScaler, aangeduid als CVE 2023-4966 of 'Citrix Bleed', waarvoor vorige maand een beveiligingsupdate verscheen. Dat laat de FBI in een vandaag verschenen cybersecurity advisory weten. Ook andere organisaties zijn via het beveiligingslek besmet geraakt met ransomware.
NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt.
Op 10 oktober kwam NetScaler met een update voor een kritieke kwetsbaarheid (CVE-2023-4966)'. Via het lek kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen.>/p>
Al voor het uitkomen van de update bleek dat aanvallers misbruik van het beveiligingslek maken, maar dat was toen nog niet bij NetScaler bekend. Inmiddels vinden er grootschalige aanvallen plaats, waarbij onder andere de criminelen achter de LockBit-ransomware het op kwetsbare systemen hebben voorzien. Zodra de aanvallers toegang tot een NetScaler-systeem hebben verzamelen ze inloggegeven, bewegen zich lateraal door het netwerk en benaderen data.
Vanwege de eenvoud waarmee de kwetsbaarheid is te misbruiken verwachten de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) grootschalig misbruik bij kwetsbare systemen. Organisaties worden dan ook opgeroepen om hun Citrix-systemen te patchen. De advisory bevat ook advies waarmee kan worden gekeken of NetScaler-systemen mogelijk al zijn gecompromitteerd, alsmede wat er dan gedaan moet worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.