Aanvaller verwijdert malware van besmette Citrix-servers
Verschillende aanvallers maken inmiddels gebruik van het beveiligingslek in Citrix om kwetsbare servers over te nemen. Onderzoekers hebben één aanvaller ontdekt die malware van al eerder overgenomen Citrix NetScaler-apparaten verwijdert en verdere aanvalspogingen op servers blokkeert.
De aanvaller laat echter ook een backdoor achter zodat hij toegang tot de machine behoudt. Dat meldt securitybedrijf FireEye in een analyse. Het securitybedrijf heeft inmiddels tientallen succesvolle aanvallen tegen Citrix-servers geanalyseerd. Aanvallers blijken het Citrix-lek onder andere te gebruiken om apparaten met een cryptominer te infecteren die de rekenkracht van de machine voor het delven van cryptovaluta gebruikt.
Eén aanvaller viel echter op omdat die dergelijke malware juist verwijdert. Daarnaast zoekt deze aanvaller naar bestanden, exploitcode en scripts van andere aanvallers en verwijdert die voordat ze kunnen worden aangeroepen. Het is echter de vraag of deze aanvaller goede bedoelingen heeft, zegt onderzoeker William Ballenthin. Er wordt namelijk ook een backdoor achtergelaten. Deze backdoor is via een passphrase te benaderen, mogelijk voor een toekomstige aanvalscampagne, aldus Ballenthin. FireEye heeft bijna honderd hardcoded keys ontdekt waarmee de aanvaller toegang tot gecompromitteerde omgevingen kan krijgen.
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.
In https://www.bleepingcomputer.com/news/security/dutch-govt-suggests-turning-off-citrix-adc-devices-mitigations-may-fail/ zag ik enkele handige overzichten (waarvan ik niet weet of alle gegevens kloppen). Raadpleeg Citrix zelf voor zo nauwkeurig mogelijke informatie.
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.
https://www.bleepingcomputer.com/news/security/cisa-releases-test-tool-for-citrix-adc-cve-2019-19781-vulnerability/
https://github.com/cisagov/check-cve-2019-19781
Want het is in al deze discussie niet meer duidelijk wat er nou precies aangeduid wordt met Citrix-servers, de Netscaler
(wat gewoon een VPN concentrator is om remote gebruik te faciliteren) of de applicatieservers die erachter zitten.
https://www.security.nl/posting/639590/Citrix+waarschuwt+dat+workaround+voor+ernstig+lek+niet+altijd+werkt
Anoniem 10:25
".. de bug zit o.a. in de configuratie van Apache die Netscaler gebruikt voor afhandelen van requests .."
Soort van XS4ALL die je in Quarantaine gooit als je spam-mig doet, maar dan andersom qua detectie.
Soort van Shodan, maar dan meteen doorpakken en opruimen.
Soort van Anti-virus, maar dan achteraf als het eigenlijk te laat is maar je dat nog steeds niet door hebt.
Ik zou een m'n IPs doorgeven en netjes afrekenen als ze het voor elkaar krijgen.
Soort van XS4ALL die je in Quarantaine gooit als je spam-mig doet, maar dan andersom qua detectie.
Soort van Shodan, maar dan meteen doorpakken en opruimen.
Soort van Anti-virus, maar dan achteraf als het eigenlijk te laat is maar je dat nog steeds niet door hebt.
Ik zou een m'n IPs doorgeven en netjes afrekenen als ze het voor elkaar krijgen.
Is dit niet gewoon wat pentesters doen...
Het is ook wat de ene cybercrimineel met de andere op een webstek probeert te doen of voorheeft te doen.
Iedere cybercrimineel/malcreant wil ergens het alleenvertoningsrecht, toch?
Het komt ook voor dat een aanvaller eerst een brakke hackable site "hardent".
Dit om de malware later "beter beschermd" daar te kunnen laten draaien.
Maar men wil dan liever dat "the good" dat doen, eerder dan "the bad and the ugly".
Maar sommigen op een CMS met user enumeration aan en directory listing op "enabled" vragen hier a.h.w. om.
Targetscannetje, exploitje, pats - geheel geautomatiseerd
Wie gaat al die brakke amateur en non-security websites eens benaderen.
Ze vormen een enorm risico voor de infra-structuur.
Maar dat is naar de wereld der kwetsbaren gerekend maar relatief.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.