"Vijftienduizend Citrix-servers missen update voor actief aangevallen lek"
Vijftienduizend Citrix-servers missen een kritieke beveiligingsupdate voor een kwetsbaarheid die in eerste instantie als zeroday werd aangevallen, zo laat de Shadowserver Foundation weten. In Nederland gaat het nog om ruim driehonderd servers. Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers sinds juni misbruik van de kwetsbaarheid om op Citrix-servers een webshell te installeren. Met dergelijke software is het mogelijk om toegang tot de server te behouden en verdere aanvallen uit te voeren.
De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, telde op 21 juli vijftienduizend kwetsbare Citrix-servers die geen patch voor CVE-2023-3519 geïnstalleerd hebben. Het gaat 331 machines in Nederland. De VS is met 6100 kwetsbare Citrix-servers koploper. Beheerders worden dan ook opgeroepen om de update zo snel mogelijk te installeren.
Vorige week kwam securitybedrijf Mandiant met een analyse van de aanvallen op kwetsbare Citrix-servers, waarbij een webshell werd geïnstalleerd. Volgens het bedrijf zijn de aanvallen vermoedelijk het werk van "cyber espionage threat actors". Tevens geeft het bedrijf informatie waarmee organisaties kunnen kijken of ze gecompromitteerd zijn.
Definitie dingetje..
Ja het zijn Citrix servers (appliances)
en nee, het zijn geen windows CVAD's servers
Ok, dat maakt het niet installeren van een patch minder erg??
Het is een klassieke truc om een kwetsbaarheid midden in de (zomer)vakantie te lanceren. Gezien het grote aantal niet-gepatchte machines heeft dat effect.
Een hele goede actie van de Shadowserver Foundation. De vraag is waarom Citrix niet zelf er in slaagt om het aantal gepatchte machines te vergroten, hebben zij geen "Citrix-alert" systeem, of is dat niet effectief?
In Nederland heeft het DIVD (Dutch Institute for Vulnerability Disclosure) een vergelijkbare rol als de Shadowserver Foundation. Het zijn concullega's. De Shadowserver Foundation tweette op 20 juli 2023 over CVE-2023-3519.
Het CSIRT van DIVD publiceerde een post op 20 juli 2023, waarin wordt aangegeven:
https://csirt.divd.nl/cases/DIVD-2023-00030/
"DIVD-2023-00030 - CITRIX SYSTEMS VULNERABLE FOR CVE-2023-3519"
(...)
"19 Jul 2023 DIVD starts notifying owners of vulnerable systems"
Helemaal goed! en hopelijk effectiever dan een enkel Tweetje, omdat beheerders individueel een bericht krijgen van het DIVD. Hopelijk wordt dat wel gelezen en krijgt het adequate aandacht in deze vakantietijd.
Mijn "douze points" gaan naar het DIVD.
De ADC is ook gewoon een server, wel vaak een appliance, maar technisch gezien is dat ook gewoon een (speciale) server.
Een hele goede actie van de Shadowserver Foundation. De vraag is waarom Citrix niet zelf er in slaagt om het aantal gepatchte machines te vergroten, hebben zij geen "Citrix-alert" systeem, of is dat niet effectief?
Citrix heeft gewoon netjes een Alert-mail gestuurd naar klanten. Ontvangen op 18 juli, gepatched op 18 juli.
Verder idd. goede actie... deze kwetsbaarheid is net zo ernstig als die VPN directory traversal enkele jaren gelden met kerst... echter word minder ophef over gemaakt dit keer.
https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/
https://www.resillion.com/escalating-privileges-in-citrix-adc/
/saml/login
/gwtest/formssso
Het is onduidelijk of nu beide aanvalspaden worden opgelost met deze CVE-2023-3519
https://www.greynoise.io/blog/will-the-real-citrix-cve-2023-3519-please-stand-up
/saml/login
/gwtest/formssso
Het is onduidelijk of nu beide aanvalspaden worden opgelost met deze CVE-2023-3519
https://www.greynoise.io/blog/will-the-real-citrix-cve-2023-3519-please-stand-up
Het lijkt er op dat de CVE-2023-3519 met aanvalspad /saml/login formeel is gefixed is en dat /gwtest/formsso/ stiekem gepatched is. Iets dergelijks wordt hier ook genoemd.
https://bishopfox.com/blog/citrix-adc-gateway-rce-cve-2023-3519
https://blog.assetnote.io/2023/07/21/citrix-CVE-2023-3519-analysis/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.