NetScaler-servers sinds juni via zerodaylek geïnfecteerd met webshells
Aanvallers hebben sinds juni misbruik gemaakt van een zerodaylek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway), zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Een organisatie in de vitale infrastructuur was het doelwit. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, die een ongeauthenticeerde aanvaller willekeurige code op de servers laat uitvoeren.
NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.
Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de NetScaler ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Volgens het CISA hebben aanvallers via het zerodaylek webshells op NetScaler-servers geïnstalleerd, waarmee het mogelijk is om toegang tot de server te behouden en verdere aanvallen uit te voeren.
In juni werd een niet nader genoemde Amerikaanse organisatie in de vitale infrastructuur via de zeroday aanvallen. De aanvallers installeerden een webshell waarmee ze informatie over de Active Directory van de aangevallen organisaties verzamelde, waarna geprobeerd werd om lateraal naar een domain controller te bewegen. Bij de waargenomen aanval mislukte dit vanwege netwerksegmentatie, aldus het CISA. De Amerikaanse overheidsinstantie heeft nu details vrijgegeven waarmee organisaties kunnen controleren of hun NetScaler-servers zijn gecompromitteerd.
Ja, goed idee, heeft vast geen enkele impact op de organisatie. Beter uitzetten dan patchen en defense in depth maatregelen implementeren in je netwerk. Precies wat we voor ogen hebben: de hele spullenboel stort in elkaar bij een zero-day. Goed netwerkdesign right there.
Ja, goed idee, heeft vast geen enkele impact op de organisatie. Beter uitzetten dan patchen en defense in depth maatregelen implementeren in je netwerk. Precies wat we voor ogen hebben: de hele spullenboel stort in elkaar bij een zero-day. Goed netwerkdesign right there.
Netwerkdesign is iets heel anders. Het heeft met security/applicatiedesign te maken...
Kennelijk hou je de zaken niet goed uit elkaar, meneer de zuurpruim.
Ik snap niet dat men zo sarcastisch en denigrerend moet reageren, in plaats van een inhoudelijk juiste reactie te geven en een advies te doen naar hoe het wel zou kunnen. En de juiste terminologie te gebruiken.
Klinkt als een IT'er die op de stoel van management gaat zitten en zelf gaat bepalen wat acceptabel risico is en hoeveel schade het bedrijf mag lopen.
Dat besluit is nooit aan IT om te nemen.
Je advies wordt meegenomen, meer niet. We hebben namelijk een bedrijf te runnen waar tientallen miljoenen in omgaan, waar contractuele verplichtingen gelden en waar onbeschikbaarheid tonnen kosten, iets dat een IT'er niet overziet.
Ga jij die tonnen betalen?
Klinkt als een IT'er die op de stoel van management gaat zitten en zelf gaat bepalen wat acceptabel risico is en hoeveel schade het bedrijf mag lopen.
Dat besluit is nooit aan IT om te nemen.
Je advies wordt meegenomen, meer niet. We hebben namelijk een bedrijf te runnen waar tientallen miljoenen in omgaan, waar contractuele verplichtingen gelden en waar onbeschikbaarheid tonnen kosten, iets dat een IT'er niet overziet.
Ga jij die tonnen betalen?
Je snapt denk ik het sarcasme niet in de uitspraak. Enkele jaren terug was er ook een kritisch Citrix lek die RCE mogelijk maakte en toen was heel Nederland in rep en roer... paniek voerde de boventoon en bedrijven gingen allemaal hun citrix systemen uitzetten mede door de media ophef en managers die in blinde paniek maar wat deden. Die opmerking was een knipoog naar dat.
Wachten net zo lang dat je ransomware slachtoffer word en je je mag melden bij de AP met weet ik hoeveel miljoenen schade... lijkt me ook geen goed plan.
Gewoon op 18 juli patchen is uiteraard beter. Een beetje bedrijf heeft Netscalers in HA of GLBS en je kan dus zonder downtime patchen. Als dat niet kan heb je de boel gewoon niet op orde.
info.php 3a591015136412c77afe251a5ad545980afd95426ba254bad595d9ee525f881a
logout.php 293fe23849cffb460e8d28691c640a5292fd4649b0f94a019b45cc586be83fd9
De laatste staat ook op VirusTotal.
https://www.virustotal.com/gui/file/293fe23849cffb460e8d28691c640a5292fd4649b0f94a019b45cc586be83fd9/community
https://github.com/securekomodo/citrixInspector/blob/main/cve_2023_3519_inspector.py
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.