Aanvallers hebben ruim 1800 Citrix NetScalers via een beveiligingslek voorzien van een backdoor. Zo'n 1250 van de apparaten hebben inmiddels een beveiligingsupdate voor de kwetsbaarheid ontvangen, maar waren voor de installatie van de patch al gecompromitteerd en zijn dat nog steeds. Zo stellen securitybedrijf Fox-IT en het Dutch Institute of Vulnerability Disclosure (DIVD) op basis van eigen onderzoek.

Het beveiligingslek in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) laat een aanvaller willekeurige code op de server uitvoeren. Citrix kwam op 18 juli met beveiligingsupdates voor de kwetsbaarheid, aangeduid als CVE-2023-3519. Op dat moment werd er al actief misbruik van het lek gemaakt. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de server behouden en verdere aanvallen kunnen uitvoeren.

Volgens de onderzoekers waren op het moment van de aanvallen 31.000 Citrix NetScalers kwetsbaar voor CVE-2023-3519. Gisteren bleek dat van de NetScalers er 1828 met een webshell zijn besmet. Daarvan hebben er 1248 inmiddels de beveiligingsupdate voor de kwetsbaarheid ontvangen. Organisaties zouden daardoor kunnen denken dat ze veilig zijn, terwijl in werkelijkheid aanvallers nog steeds toegang tot de server hebben.

Vooral in Duitsland zijn veel getroffen NetScalers aangetroffen. In Nederland gaat het om meer dan honderd machines. Zowel Fox-IT als securitybedrijf Mandiant hebben scanners uitgebracht waarmee organisaties kunnen kijken of hun NetScalers zijn gecompromitteerd. Het DIVD is op 10 augustus begonnen met het informeren van gecompromitteerde organisaties.